VMware ESXi là một trong những nền ảo hoá phổ biến nhất hiện nay. Chỉ trong năm 2020, có rất nhiều biến thể mã độc mã hoá tống tiền – ransomware, nhắm mục tiêu nền tảng này.
Mặc dù ESXi không hoàn toàn là Linux vì nó sử dụng custom kernel, nhưng nó có nhiều đặc điểm tương tự, bao gồm khả năng chạy các tệp thực thi ELF64 Linux.
HelloKitty nhắm mục tiêu các máy chủ ESXi
Hôm qua, nhà nghiên cứu bảo mật MalwareHunterTeam đã tìm thấy nhiều phiên bản Linux ELF64 của mã độc mã hoá tống tiền HelloKitty đang nhắm mục tiêu đến các máy chủ ESXi và các máy ảo đang chạy trên chúng.
Theo các nhà nghiên cứu, HelloKitty là một mã độc mã hoá tống tiền Linux, nhưng đây là biến thể đầu tiên mà các nhà nghiên cứu đã phát hiện đang nhắm mục tiêu vào các máy chủ ESXI.
MalwareHunterTeam đã chia sẻ các mẫu phân tích về ransomware này và bạn có thể thấy rõ ràng các chuỗi tham chiếu đến ESXi cũng như nỗ lực của mã độc này nhằm tắt các máy ảo đang chạy.
First try kill VM:%ld ID:%d %s
esxcli vm process kill -t=soft -w=%d
Check kill VM:%ld ID:%d
esxcli vm process kill -t=hard -w=%d
Unable to find
Killed VM:%ld ID:%d
still running VM:%ld ID:%d try force
esxcli vm process kill -t=force -w=%d
Check VM:%ld ID: %d manual !!!
.README_TO_RESTORE
Find ESXi:%s
esxcli vm process list
World ID:
Process ID:
Running VM:%ld ID:%d %s
Total VM run on host: %ldTừ các thông báo debug, chúng ta có thể thấy rằng mã độc mã hoá tống tiền này sử dụng công cụ quản lý dòng lệnh esxcli của ESXi để liệt kê các máy ảo đang chạy trên máy chủ và sau đó tắt chúng.
Điều này cho thấy tin tặc đã rất cẩn trọng khi tiến hành shutdown hoàn toàn các máy chủ ảo trước khi tiến hành mã hoá nhằm tránh trường hợp các tệp dữ liệu bị khoá hay dữ liệu bị corruption.
Khi tắt các máy ảo, trước tiên, ransomware sẽ thử tắt một cách nhẹ nhàng bằng lệnh ‘soft’:
esxcli vm process kill -t=soft -w=%dNếu vẫn còn máy ảo vẫn chạy, nó sẽ thử tắt máy ảo ngay lập tức bằng lệnh ‘hard’:
esxcli vm process kill -t=hard -w=%dCuối cùng, nếu các máy ảo vẫn đang chạy, phần mềm độc hại sẽ sử dụng lệnh ‘force’ để tắt bất kỳ máy ảo nào đang chạy.
esxcli vm process kill -t=force -w=%dSau khi máy ảo tắt, ransomware sẽ bắt đầu mã hóa các tệp .vmdk (đĩa cứng ảo), .vmsd (metadata và thông tin snapshot và .vmsn (chứa trạng thái hoạt động của máy ảo).
Theo các nhà nghiên cứu, phương pháp này rất hiệu quả vì nó cho phép một mã độc ransomware mã hóa nhiều máy ảo chỉ với một lệnh duy nhất.
Tháng trước, MalwareHunterTeam cũng đã tìm thấy một phiên bản Linux của ransomware REvil nhắm mục tiêu vào các máy chủ ESXi và sử dụng lệnh esxcli như một phần của quá trình mã hóa.
Theo Fabian Wosar – CTO của Emsisoft cho biết tại thời điểm này, các mã độc mã hoá tống tiền như Babuk, RansomExx /Defray, Mespinoza, GoGoogle và DarkSide cũng không còn hoạt động. Chúng đang biến đổi để tạo ra các bộ mã hóa Linux nhằm nhắm mục tiêu các máy ảo ESXi.
Một chút thông tin về HelloKitty
Mã độc mã hoá tống tiền HelloKitty đã hoạt động từ tháng 11/2020.
Cuộc tấn công nổi tiếng nhất của HelloKitty là cuộc tấn công vào CD Projekt Red. Trong cuộc tấn công này, tin tặc đã mã hóa thiết bị và tuyên bố đã đánh cắp mã nguồn của Cyberpunk 2077, Witcher 3, Gwent, v.v.
Tin tặc sau đó tuyên bố rằng đã có người mua đã mua các tệp mã nguồn bị đánh cắp từ vụ tấn công CD Projekt Red.
Ransomware này, hoặc các biến thể của nó, đã được sử dụng dưới nhiều tên khác nhau như DeathRansom và Fivehands.
Nguồn: BleepingComputer
