La banda de ransomware detrás del ataque altamente publicitado en CD Projekt Red usa una variante de Linux que apunta a la plataforma de máquina virtual ESXi de VMware para obtener el máximo daño.
A medida que la empresa se traslada cada vez más a las máquinas virtuales para facilitar las copias de seguridad y la gestión de recursos, las bandas de ransomware están evolucionando sus tácticas para crear cifradores de Linux dirigidos a estos servidores.
VMware ESXi es una de las plataformas de máquinas virtuales empresariales más populares. Durante el año pasado, ha habido un número creciente de bandas de ransomware que lanzaron cifradores de Linux dirigidos a esta plataforma.
Si bien ESXi no es estrictamente Linux, ya que utiliza su propio kernel de cliente, comparte muchas características similares, incluida la capacidad de ejecutar ejecutables ELF64 Linux.
HelloKitty se traslada a ESXi
Ayer, el investigador de seguridad MalwareHunterTeam encontró numerosas versiones Linux ELF64 del ransomware HelloKitty dirigidas a los servidores ESXi y las máquinas virtuales que se ejecutan en ellos.
Se sabe que HelloKitty utiliza un cifrador de Linux, pero esta es la primera muestra que los investigadores han detectado públicamente.
MalwareHunterTeam compartió muestras del ransomware con BleepingComputer, y puede ver claramente las cadenas que hacen referencia a ESXi y los intentos del ransomware de apagar las máquinas virtuales en ejecución.
First try kill VM:%ld ID:%d %s
esxcli vm process kill -t=soft -w=%d
Check kill VM:%ld ID:%d
esxcli vm process kill -t=hard -w=%d
Unable to find
Killed VM:%ld ID:%d
still running VM:%ld ID:%d try force
esxcli vm process kill -t=force -w=%d
Check VM:%ld ID: %d manual !!!
.README_TO_RESTORE
Find ESXi:%s
esxcli vm process list
World ID:
Process ID:
Running VM:%ld ID:%d %s
Total VM run on host: %ldA partir de los mensajes de depuración, podemos ver que el ransomware usa la esxcli herramienta de administración de línea de comandos de ESXi para enumerar las máquinas virtuales en ejecución en el servidor y luego apagarlas.
Las bandas de ransomware que tienen como objetivo los servidores ESXi apagarán las máquinas virtuales antes de cifrar los archivos para evitar que se bloqueen y evitar la corrupción de datos.
Al apagar las máquinas virtuales, el ransomware primero intentará un apagado ordenado usando el comando 'suave':
esxcli vm process kill -t=soft -w=%dSi todavía hay máquinas virtuales en ejecución, intentará un apagado inmediato de las máquinas virtuales mediante el comando 'hard':
esxcli vm process kill -t=hard -w=%dFinalmente, si las máquinas virtuales aún se están ejecutando, el malware usará el comando 'force' para apagar cualquier máquina virtual en ejecución forzosamente.
esxcli vm process kill -t=force -w=%dUna vez apagadas las máquinas virtuales, el ransomware comenzará a cifrar los archivos .vmdk (disco duro virtual), .vmsd (metadatos e información de instantáneas) y .vmsn (contiene el estado activo de la máquina virtual).
Este método es muy eficiente, ya que permite que una banda de ransomware encripte muchas máquinas virtuales con un solo comando.
El mes pasado, MalwareHunterTeam también encontró una versión para Linux del ransomware REvil que apunta a los servidores ESXi y usó el comando esxcli como parte del proceso de cifrado.
El director de tecnología de Emsisoft, Fabian Wosar, le dijo a BleepingComputer en ese momento que otras operaciones de ransomware, como Babuk, RansomExx / Defray , Mespinoza, GoGoogle y el ahora desaparecido DarkSide, también han creado encriptadores Linux para apuntar a máquinas virtuales ESXi.
"La razón por la que la mayoría de los grupos de ransomware implementaron una versión basada en Linux de su ransomware es apuntar a ESXi específicamente", dijo Wosar.
Un poco sobre HelloKitty
HelloKity ha estado en funcionamiento desde noviembre de 2020, cuando una víctima publicó por primera vez sobre el ransomware en nuestros foros.
Desde entonces, los actores de la amenaza no se han comparado de forma particularmente activa con otras operaciones de ransomware operadas por humanos.
Su ataque más conocido ha sido contra CD Projekt Red , donde los actores de la amenaza cifraron dispositivos y afirman haber robado el código fuente de Cyberpunk 2077, Witcher 3, Gwent y más.
Los actores de la amenaza afirmaron más tarde que alguien había comprado los archivos robados de CD Projekt Red .
Este ransomware, o sus variantes, se ha utilizado con diferentes nombres como DeathRansom y Fivehands .
Fuente: https://www.bleepingcomputer.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila
0 Comentarios