{"id":5756,"date":"2023-12-05T00:14:01","date_gmt":"2023-12-04T23:14:01","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5756"},"modified":"2023-12-05T00:14:01","modified_gmt":"2023-12-04T23:14:01","slug":"qilin-ransomware-napada-vmware-esxi","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2023\/12\/05\/qilin-ransomware-napada-vmware-esxi\/","title":{"rendered":"Qilin ransomware napada VMware ESXi"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Zlonamjerni akteri koji stoje iza <em>Qilin<\/em> <em>ransomware<\/em> zlonamjernog softvera <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/linux-version-of-qilin-ransomware-focuses-on-vmware-esxi\/\" target=\"_blank\" rel=\"noopener\">napadaju <em>VMware<\/em> <em>ESXi<\/em> hipervizore<\/a> sa novom verzijom <em>ransomware<\/em> zlonamjernog softvera koja bi mogla biti jedan od najnaprednijih i najprilagodljivijih <em>Linux<\/em> enkriptora do sada.<\/span><\/p>\n<div id=\"attachment_5759\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-5759\" class=\"size-full wp-image-5759\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Qilin-ransomware.jpg\" alt=\"ransomware Qilin\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Qilin-ransomware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Qilin-ransomware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Qilin-ransomware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Qilin-ransomware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Qilin-ransomware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Qilin-ransomware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Qilin-ransomware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-5759\" class=\"wp-caption-text\"><em>Qilin ransomware napada VMware ESXi; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2023\/12\/05\/qilin-ransomware-napada-vmware-esxi\/#UVOD\">UVOD<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2023\/12\/05\/qilin-ransomware-napada-vmware-esxi\/#QILIN_NAPADA_VMWARE_ESXI\">QILIN NAPADA VMWARE ESXI<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2023\/12\/05\/qilin-ransomware-napada-vmware-esxi\/#PORIJEKLO_QILIN_ZLONAMJERNOG_AKTERA\">PORIJEKLO QILIN ZLONAMJERNOG AKTERA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2023\/12\/05\/qilin-ransomware-napada-vmware-esxi\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"http:\/\/sajberinfo.com\/en\/2023\/12\/05\/qilin-ransomware-napada-vmware-esxi\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"UVOD\"><\/span><span style=\"font-size: 14pt;\"><strong>UVOD<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Poslovne organizacije sve vi\u0161e upotrebljavaju virtuelne ma\u0161ine za pokretanje svojih servera, jer tako dobijaju bolje iskori\u0161tenje procesora, memorije i resursa za skladi\u0161tenje. Prate\u0107i ovaj trend, skoro svi <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> su prilagodile svoje <em>ransomware<\/em> zlonamjerne softvere za napad na <em>VMware<\/em> <em>ESXi<\/em> hipervizore.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">I dok je ve\u0107ina zlonamjernih aktera koristila javno objavljeni programski k\u00f4d <em>Babuk<\/em> <em>ransomware <\/em>zlonamjernog softvera za enkriptore, zlonamjerni akteri koji stoje iza imena <em>Qilin<\/em> su napravili svoj enkriptor za ciljanje <em>Linux<\/em> servera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"QILIN_NAPADA_VMWARE_ESXI\"><\/span><span style=\"font-size: 14pt;\"><strong><em>QILIN<\/em> NAPADA <em>VMWARE<\/em> <em>ESXI<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Qilin<\/em> enkriptor se mo\u017ee primjenjivati na <em>Linux<\/em>, <em>FreeBSD<\/em> i <em>VMware<\/em> <em>ESXi<\/em> serverima, sa glavnim naglaskom na <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanje<\/a> virtuelnih ma\u0161ina i brisanje njihovih snimaka (eng. <em>snapshots<\/em>). On je izgra\u0111en sa ugra\u0111enom konfiguracijom koja odre\u0111uje ekstenziju za \u0161ifrovane datoteke, procese koje treba prekinuti, datoteke koje treba <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovati<\/a> ili isklju\u010diti i fascikle koje treba \u0161ifrovati ili isklju\u010diti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Qilin<\/em> enkriptor tako\u0111er uklju\u010duje brojne argumente komandne linije koji omogu\u0107avaju opse\u017eno prilago\u0111avanje ovih opcija konfiguracije i na\u010dina na koji se datoteke \u0161ifruju na serveru. Ovi argumenti komandne linije uklju\u010duju opcije za omogu\u0107avanje re\u017eima za otklanjanje gre\u0161aka, izvo\u0111enje suvog rada bez \u0161ifrovanja datoteka ili prilago\u0111avanje na\u010dina na koji su virtuelne ma\u0161ine i njihovi snimci \u0161ifrovani.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"PORIJEKLO_QILIN_ZLONAMJERNOG_AKTERA\"><\/span><span style=\"font-size: 14pt;\"><strong>PORIJEKLO<em> QILIN <\/em>ZLONAMJERNOG AKTERA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Qilin<\/em> <em>ransomware<\/em> grupa radi po modelu <em>ransomware<\/em> kao usluga (eng. <em>ransomware-as-a-service \u2013 RaaS<\/em>), a poznata je jo\u0161 i pod imenom \u201c<em>Agenda<\/em>\u201d. Ova <em>ransomware<\/em> grupa se pojavila u julu 2022. godine napadaju\u0107i zdravstvene organizacije, tehnolo\u0161ke kompanije i druge poslovne organizacije \u0161irom svijeta.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Od trenutka kada se pojavila, ova grupa je napala najmanje 12 organizacija iz Kanade, SAD, Kolumbije, Francuske, Holandije, Srbije, Velike Britanije i Japana. Uo\u010deno je da grupa nazna\u010dila svojim pretplatnicima da ne\u0107e napasti zemlje Zajednice nezavisnih dr\u017eava (Azerbejd\u017ean, Bjelorusija, Jermenija, Kazahstan, Kirgistan, Moldavija, Rusija, Tad\u017eikistan i Uzbekistan).<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Qilin<\/em> <em>ransomware<\/em> grupa se razlikuje od drugih grupa, jer je njen <em>ransomware<\/em> zlonamjerni softver napisan u <em>Rust<\/em> i <em>Go<\/em> programskim jezicima \u0161to ga \u010dini raznovrsnijim i te\u017eim za analizu i otkrivanje. Posebno je zanimljiva i efikasna <em>Rust<\/em> varijanta koja zbog svojih kvaliteta ima mogu\u0107nost izbjegavanja i te\u0161ko ju je de\u0161ifrovati. Pored toga ona je zbog <em>Rust<\/em> programskog jezika laka za prilago\u0111avanje zlonamjernog softvera za <em>Windows<\/em>, <em>Linux <\/em>i <em>ESXi<\/em> verzije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Prema dostupnim izvje\u0161tajima, ova grupa uzima 80% uplate do 3 miliona ameri\u010dkih dolara, odnosno 85% uplate ako je iznos ve\u0107i od 3 miliona ameri\u010dkih dolara.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Qilin ransomware<\/em> grupa je postala poznata zbog ciljanja organizacija u kriti\u010dnim sektorima, ali treba imati na umu da ona predstavlja prijetnju svim poslovnim organizacijama. Partnerski program po modelu <em>ransomware<\/em> kao usluga ne samo da dodaj nove \u010dlanove u svoju mre\u017eu, ve\u0107 ih naoru\u017eava nadogra\u0111enim alatima, tehnikama, pa \u010dak i pru\u017eanjem podr\u0161ke. Imaju\u0107i to u vidu, apsolutno je neophodno da poslovne organizacije sada preduzmu konkretne korake kako bi svoje kriti\u010dne operacije i podatke odr\u017eali potpuno sigurnim.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako bi se korisnici i poslovne organizacije za\u0161titili od napada <em>Qilin ransomware<\/em> grupe potrebno je pratiti slijede\u0107e preporuke:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Autentifikacija u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>) i i rje\u0161enja za pristup zasnovana na akreditivima poma\u017eu poslovnim organizacijama da obezbijede svoju kriti\u010dnu imovinu i visokorizi\u010dne korisnike, \u0161to ote\u017eava napada\u010dima da budu uspje\u0161ni.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Procese pravljenja <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervnih kopija<\/a> podataka treba redovno sprovoditi, jer poma\u017eu organizacijama da izbjegnu gubitak podataka nakon <em>ransomware <\/em>napada i poma\u017eu njihovom poslovanju da smanje \u0161tetu.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Qilin ransomware<\/em> grupa se oslanja na <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/spear-phishing\/\" target=\"_blank\" rel=\"nofollow noopener\">ciljane <em>phishing<\/em> napade<\/a> (eng. <em>spear phishing<\/em>) kao bi dobila pristup mre\u017eama svojih \u017ertava, zbog \u010dega je potrebno da korisnici budu oprezni kada rukuju prilozima elektronske po\u0161te, posje\u0107uju sumnjive Internet lokacije ili preuzimaju datoteke iz nepouzdanih izvora.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Qilin ransomware<\/em> je napisan u <em>Rust<\/em> programskom jeziku koji je te\u017ei za otkrivanje <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusnim rje\u0161enjima<\/a>. Zbog toga je potrebno koristi provjerena sigurnosna rije\u0161enja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju kao \u0161to je softver za pro\u0161ireno otkrivanje i odgovor (eng. <em>Extended detection and response \u2013 XDR<\/em>) za efikasnu identifikaciju i spre\u010davanje zlonamjerne aktivnosti.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno primjenjivati a\u017euriranja, jer \u0161to je du\u017ee ranjivost dostupna za eksploataciju, ve\u0107i je rizik da \u0107e biti iskori\u0161tena. Sigurnosna a\u017euriranja bi trebala imati prioritet.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Edukacija zaposlenih o rizicima koji se odnose na mre\u017eu, ure\u0111aje i infrastrukturu poslovne organizacije mogu zna\u010dajno pomo\u0107i u prevenciji napada, jer ljudski faktor ostaje jedna od najvec\u0301ih ranjivosti u <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a>. Redovne obuke zaposlenih mogu pomo\u0107i u identifikaciji i prijavi sajber napada.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Na kraju preporuka je da se u slu\u010daju uspje\u0161nog <em>ransomware<\/em> napada ne pla\u0107a otkupnina. Sajber kriminalci su finansijski motivisani da natjeraju svoje \u017ertve da plate vi\u0161e. \u010cak i ako jedan napada\u010d vrati podatke, drugi \u0107e veoma brzo biti svjesni spremnosti poslovne organizacije da plati otkupninu, \u0161to \u0107e dovesti do pove\u0107anja broja poku\u0161aja napada na istu.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Zlonamjerni akteri koji stoje iza Qilin ransomware zlonamjernog softvera napadaju VMware ESXi hipervizore sa novom verzijom ransomware zlonamjernog softvera koja bi mogla biti jedan od najnaprednijih i najprilagodljivijih Linux enkriptora do sada. UVOD Poslovne&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":5759,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[272,141,93,605,607,133,606,271],"class_list":["post-5756","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-esxi","tag-linux","tag-malware","tag-qilin","tag-raas","tag-ransomware","tag-ransomware-as-a-service","tag-vmware"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5756","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5756"}],"version-history":[{"count":0,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5756\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5759"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5756"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5756"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5756"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}