Išpirkos reikalaujančių programų gauja, užėmusi labai viešai paskelbtą ataką prieš „CD Projekt Red“, naudoja „Linux“ variantą, skirtą „VMware“ ESXi virtualiosios mašinos platformai, kad padarytų didžiausią žalą.
Įmonei vis dažniau pereinant prie virtualių mašinų, kad būtų supaprastintas atsarginis kopijavimas ir išteklių valdymas, išpirkos reikalaujančios grupės tobulina savo taktiką, kad sukurtų Linux šifravimą, skirtą šiems serveriams.
„VMware ESXi“ yra viena populiariausių įmonės virtualių mašinų platformų. Per pastaruosius metus daugėjo išpirkos reikalaujančių programų grupių, išleidžiančių Linux šifravimą, skirtą šiai platformai.
Nors ESXi nėra griežtai Linux, nes jis naudoja savo kliento branduolį, jis turi daug panašių funkcijų, įskaitant galimybę paleisti ELF64 Linux vykdomuosius failus.
HelloKitty persijungia į ESXi
Vakar saugumo tyrinėtojas MalwareHunterEquipo rado daugybę ELF64 Linux versijų HelloKitty ransomware, skirtų ESXi serveriams ir juose veikiančioms virtualioms mašinoms.
Yra žinoma, kad HelloKitty naudoja Linux kodavimo įrenginį, tačiau tai yra pirmasis pavyzdys, kurį mokslininkai pastebėjo viešai.
Panašu, kad dar niekas nebuvo paminėtas, tad leiskite tai padaryti: HelloKitty ransomware Linux versija jau bent kovo pradžioje naudojo esxcli, kad sustabdytų virtualias mašinas... @VK_Intel @demonios335 pic.twitter.com/atSv0OO7YL
– MalwareHunterTeam (@malwrhunterteam) 2021 m. liepos 14 d
MalwareHunterTeam pasidalijo išpirkos reikalaujančios programinės įrangos pavyzdžiais su „BleepingComputer“ ir galite aiškiai matyti eilutes, susijusias su ESXi ir išpirkos reikalaujančios programos bandymais išjungti veikiančias virtualias mašinas.
|_+_|Iš derinimo pranešimų matome, kad išpirkos reikalaujanti programa naudoja ESXi |_+_| komandų eilutės administravimo įrankis, skirtas serveryje veikiančioms virtualioms mašinoms išvardyti ir jas išjungti.
„Ransomware“ grupės, nukreiptos į ESXi serverius, išjungs virtualias mašinas prieš šifruodamos failus, kad būtų išvengta jų užrakinimo ir duomenų sugadinimo.
Kai kurios Darkside filialai linkę pamiršti sustabdyti visus ESXi demonus prieš pradėdami šifravimą. Rezultatas yra tai, kad užšifruoti duomenys kartais gali būti susipynę su nešifruotais duomenimis arba poraštė, kurioje yra failo raktas, iš dalies perrašoma. Tas pats rezultatas.
- Fabianas Wosaras (@fwosar) 2021 m. balandžio 14 d
Išjungus virtualias mašinas, išpirkos reikalaujanti programinė įranga pirmiausia bandys tinkamai išjungti naudodama komandą „soft“:
|_+_|Jei vis dar veikia virtualios mašinos, ji nedelsdama bandys išjungti virtualias mašinas naudodama komandą „hard“:
|_+_|Galiausiai, jei virtualios mašinos vis dar veikia, kenkėjiška programa naudos komandą „force“, kad priverstinai sustabdytų visas veikiančias virtualias mašinas.
|_+_|Kai virtualios mašinos bus išjungtos, išpirkos reikalaujanti programa pati pradės šifruoti .vmdk (virtualus standusis diskas), .vmsd (metaduomenys ir momentinės nuotraukos informacija) ir .vmsn (yra aktyvi VM būsena).
Šis metodas yra labai efektyvus, nes leidžia išpirkos reikalaujančių programų gaujai užšifruoti daug virtualių mašinų viena komanda.
Praėjusį mėnesį „MalwareHunterTeam“ taip pat rado „REvil ransomware“ Linux versiją, kuri yra skirta ESXi serveriams, ir kaip šifravimo proceso dalį naudojo komandą esxcli.
„Emsisoft“ CTO Fabianas Wosaras tuo metu „BleepingComputer“ sakė, kad kitos išpirkos reikalaujančios operacijos, įskaitant „Babuk“, „RansomExx/Defray“, „Mespinoza“, „GoGoogle“ ir dabar nebeegzistuojantis „DarkSide“, taip pat sukūrė „Linux“ kriptografus, skirtus ESXi virtualioms mašinoms.
„Priežastis, dėl kurios dauguma išpirkos reikalaujančių programų grupių įdiegė „Linux“ pagrindu sukurtą išpirkos reikalaujančių programų versiją, yra būtent ESXi, – sakė Wosar.
Šiek tiek Hello Kitty
HelloKity veikia nuo 2020 m. lapkričio mėn., kai auka pirmą kartą paskelbė informaciją apie išpirkos reikalaujančią programinę įrangą mūsų forumuose.
Nuo tada grėsmės veikėjai nebuvo ypač aktyvūs, palyginti su kitomis žmogaus vykdomomis išpirkos reikalaujančiomis programomis.
Žinomiausia jų ataka buvo prieš „CD Projekt Red“, kur grėsmės veikėjai šifravo įrenginius ir tvirtina, kad pavogė „Cyberpunk 2077“, „Witcher 3“, „Gwent“ ir kitų šaltinio kodą.
Grėsmių aktoriai vėliau teigė, kad kažkas įsigijo pavogtus failus iš „CD Projekt Red“.
Ši išpirkos reikalaujanti programa arba jos variantai buvo naudojami skirtingais pavadinimais, pvz., DeathRansom ir Fivehands.
Ką tu manai?
