Атака на интернет-интерфейсы для удаленного управления серверами HPE позволила заблокировать данные на жестком диске. За возвращение оборудования в рабочее состояние вымогатели требуют выкуп — 2 BTC, или около 1 млн рублей по курсу на момент публикации.

Под ударом оказались системы HPE iLO 4, которые позволяют администраторам настраивать некоторые модели серверов через интернет-браузер или мобильное приложение. Эти инструменты предоставляют широкий набор возможностей вплоть до полного доступа к оболочке операционной системы. Если администратор по какой-то причине не закрывает прямое интернет-подключение к интерфейсу, этим доступом могут воспользоваться злоумышленники.

Первым об атаке вымогателей сообщил иранский специалист по интернет-безопасности М. Шахпасанди. На опубликованном фото можно увидеть сообщение от взломщиков с требованием выкупа. Для коммуникации преступники использовали так называемое «сообщение безопасности» (security notice). Этот баннер можно показать пользователю перед окном авторизации, чтобы передать информацию о сети и прочие данные.

Журналисты интернет-издания Bleeping Computer связались с одной из жертв шифровальщика и восстановили картину атаки. Сначала преступники определяют доступные iLO 4 с помощью поисковика, который находит незащищенные порты интернет-устройств. Злоумышленники включают на взломанной системе показ сообщения безопасности и меняют текст на требование выкупа. Затем они загружают образ диска с записанным зловредом через встроенный в iLO 4 виртуальный медиаменеджер и перезагружают сервер. Вредонос обрабатывает жесткий диск и еще раз запускает перезагрузку — данные становятся недоступны.

В своем сообщении взломщики предупреждают, что готовы вступать в переговоры только с российскими гражданами. Это позволило экспертам говорить о стоящих за кампанией «русских хакерах». Ошибки в тексте также свидетельствуют, что для организаторов атаки английский язык не родной.

На данный момент нет информации о том, действительно ли данные шифруются или преступники их просто стирают. В пользу последней версии говорит тот факт, что жертвы не получают идентификационный номер для коммуникации с вымогателями. Такой ID позволяет злоумышленникам определить, какой ключ расшифровки следует использовать в каждом конкретном случае. В нынешней атаке единственное различие между сообщениями, которые видят разные пользователи, — это номер BTC-кошелька для выкупа.

Ранее в марте HPE сообщила об устранении серьезной уязвимости в iLO 3 — предыдущем поколении этого же веб-интерфейса. Брешь позволяла злоумышленникам вызвать критическую ошибку серверного оборудования, что потенциально могло остановить работу целого дата-центра.

Категории: Главное, Мошенничество, Уязвимости, Хакеры