• Trang Chủ
  • Tin An Ninh Mạng
  • Tin Tức
    • Apple
      • iPhone
      • iPad
      • MacOS
    • Android
    • Cloud
    • Microsoft
      • Windows 11
    • OpenSource
  • Tài Nguyên
    • Chia Sẻ Tài khoản
    • Chia Sẻ Game Mobile hay
    • Pentesting Tools
    • Chia sẻ Tools
  • How To
    • Thủ Thuật Python
    • pfSense Toàn Tập
    • Thủ Thuật Bảo Mật
    • Thủ Thuật Hay
  • Cảnh Báo Bảo Mật
  • Ứng Cứu Sự Cố 24/7
Monday, August 15, 2022
  • Login
  • Register
Cyber Security 365
27 °c
Ho Chi Minh City
28 ° Tue
28 ° Wed
28 ° Thu
28 ° Fri
  • Trang Chủ
  • Tin An Ninh Mạng
  • Tin Tức
    • Apple
      • iPhone
      • iPad
      • MacOS
    • Android
    • Cloud
    • Microsoft
      • Windows 11
    • OpenSource
  • Tài Nguyên
    • Chia Sẻ Tài khoản
    • Chia Sẻ Game Mobile hay
    • Pentesting Tools
    • Chia sẻ Tools
  • How To
    • Thủ Thuật Python
    • pfSense Toàn Tập
    • Thủ Thuật Bảo Mật
    • Thủ Thuật Hay
  • Cảnh Báo Bảo Mật
  • Ứng Cứu Sự Cố 24/7
No Result
View All Result
  • Trang Chủ
  • Tin An Ninh Mạng
  • Tin Tức
    • Apple
      • iPhone
      • iPad
      • MacOS
    • Android
    • Cloud
    • Microsoft
      • Windows 11
    • OpenSource
  • Tài Nguyên
    • Chia Sẻ Tài khoản
    • Chia Sẻ Game Mobile hay
    • Pentesting Tools
    • Chia sẻ Tools
  • How To
    • Thủ Thuật Python
    • pfSense Toàn Tập
    • Thủ Thuật Bảo Mật
    • Thủ Thuật Hay
  • Cảnh Báo Bảo Mật
  • Ứng Cứu Sự Cố 24/7
No Result
View All Result
Cyber Security 365
No Result
View All Result
Home Tin An Ninh Mạng

Mã độc mã hoá tống tiền (ransomware) HelloKitty nhắm mục tiêu vào máy chủ VMware ESXi

Dennis@ by [email protected]
17/07/2021
Reading Time: 6 mins read
0
Mã độc mã hoá tống tiền (ransomware) HelloKitty nhắm mục tiêu vào máy chủ VMware ESXi - Cybersec365.org

Mã độc mã hoá tống tiền (ransomware) HelloKitty nhắm mục tiêu vào máy chủ VMware ESXi - Cybersec365.org

Share on FacebookShare on TwitterShare on LinkedinShare on PinterestShare on T

VMware ESXi là một trong những nền ảo hoá phổ biến nhất hiện nay. Chỉ trong năm 2020, có rất nhiều biến thể mã độc mã hoá tống tiền – ransomware, nhắm mục tiêu nền tảng này.

Mã độc mã hoá tống tiền (ransomware) HelloKitty nhắm mục tiêu vào máy chủ VMware ESXi - Cybersec365.org
Mã độc mã hoá tống tiền (ransomware) HelloKitty nhắm mục tiêu vào máy chủ VMware ESXi – Cybersec365.org

Mặc dù ESXi không hoàn toàn là Linux vì nó sử dụng custom kernel, nhưng nó có nhiều đặc điểm tương tự, bao gồm khả năng chạy các tệp thực thi ELF64 Linux.

HelloKitty nhắm mục tiêu các máy chủ ESXi

Mục Lục

  • 1 HelloKitty nhắm mục tiêu các máy chủ ESXi
  • 2 Một chút thông tin về HelloKitty

Hôm qua, nhà nghiên cứu bảo mật MalwareHunterTeam đã tìm thấy nhiều phiên bản Linux ELF64 của mã độc mã hoá tống tiền HelloKitty đang nhắm mục tiêu đến các máy chủ ESXi và các máy ảo đang chạy trên chúng.

Theo các nhà nghiên cứu, HelloKitty là một mã độc mã hoá tống tiền Linux, nhưng đây là biến thể đầu tiên mà các nhà nghiên cứu đã phát hiện đang nhắm mục tiêu vào các máy chủ ESXI.

Seems no one mentioned yet, so let me do it: the Linux version of HelloKitty ransomware was already using esxcli at least in early March for stopping VMs…@VK_Intel @demonslay335 pic.twitter.com/atSv0OO7YL

— MalwareHunterTeam (@malwrhunterteam) July 14, 2021
Mã độc mã hoá tống tiền (ransomware) HelloKitty nhắm mục tiêu vào máy chủ VMware ESXi – Cybersec365.org

MalwareHunterTeam đã chia sẻ các mẫu phân tích về ransomware này và bạn có thể thấy rõ ràng các chuỗi tham chiếu đến ESXi cũng như nỗ lực của mã độc này nhằm tắt các máy ảo đang chạy.

First try kill  VM:%ld  ID:%d   %s
esxcli vm process kill -t=soft -w=%d
Check kill      VM:%ld  ID:%d
esxcli vm process kill -t=hard -w=%d
Unable to find
Killed          VM:%ld  ID:%d
still running VM:%ld    ID:%d try force
esxcli vm process kill -t=force -w=%d
Check   VM:%ld  ID:     %d manual !!!
.README_TO_RESTORE
Find ESXi:%s
esxcli vm process list
World ID:
Process ID:
Running VM:%ld  ID:%d   %s
Total VM run on host:   %ld

Từ các thông báo debug, chúng ta có thể thấy rằng mã độc mã hoá tống tiền này sử dụng công cụ quản lý dòng lệnh esxcli của ESXi để liệt kê các máy ảo đang chạy trên máy chủ và sau đó tắt chúng.

Điều này cho thấy tin tặc đã rất cẩn trọng khi tiến hành shutdown hoàn toàn các máy chủ ảo trước khi tiến hành mã hoá nhằm tránh trường hợp các tệp dữ liệu bị khoá hay dữ liệu bị corruption.

Some Darkside affiliates have a tendency to forget to stop all the ESXi daemons before kicking off the encryption. The result is that sometimes encrypted data can be interlaced with unencrypted data or that the footer containing the file key is partially overwritten. Same result.

— Fabian Wosar (@fwosar) April 14, 2021

Khi tắt các máy ảo, trước tiên, ransomware sẽ thử tắt một cách nhẹ nhàng bằng lệnh ‘soft’:

esxcli vm process kill -t=soft -w=%d

Nếu vẫn còn máy ảo vẫn chạy, nó sẽ thử tắt máy ảo ngay lập tức bằng lệnh ‘hard’:

esxcli vm process kill -t=hard -w=%d

Cuối cùng, nếu các máy ảo vẫn đang chạy, phần mềm độc hại sẽ sử dụng lệnh ‘force’ để tắt bất kỳ máy ảo nào đang chạy.

ADVERTISEMENT
esxcli vm process kill -t=force -w=%d

Sau khi máy ảo tắt, ransomware sẽ bắt đầu mã hóa các tệp .vmdk (đĩa cứng ảo), .vmsd (metadata và thông tin snapshot và .vmsn (chứa trạng thái hoạt động của máy ảo).

Theo các nhà nghiên cứu, phương pháp này rất hiệu quả vì nó cho phép một mã độc ransomware mã hóa nhiều máy ảo chỉ với một lệnh duy nhất.

Tháng trước, MalwareHunterTeam cũng đã tìm thấy một phiên bản Linux của ransomware REvil nhắm mục tiêu vào các máy chủ ESXi và sử dụng lệnh esxcli như một phần của quá trình mã hóa.

Theo Fabian Wosar – CTO của Emsisoft cho biết tại thời điểm này, các mã độc mã hoá tống tiền như Babuk, RansomExx /Defray, Mespinoza, GoGoogle và DarkSide cũng không còn hoạt động. Chúng đang biến đổi để tạo ra các bộ mã hóa Linux nhằm nhắm mục tiêu các máy ảo ESXi.

Một chút thông tin về HelloKitty

Mã độc mã hoá tống tiền HelloKitty đã hoạt động từ tháng 11/2020.

Cuộc tấn công nổi tiếng nhất của HelloKitty là cuộc tấn công vào CD Projekt Red. Trong cuộc tấn công này, tin tặc đã mã hóa thiết bị và tuyên bố đã đánh cắp mã nguồn của Cyberpunk 2077, Witcher 3, Gwent, v.v.

Tin tặc sau đó tuyên bố rằng đã có người mua đã mua các tệp mã nguồn bị đánh cắp từ vụ tấn công CD Projekt Red.

Ransomware này, hoặc các biến thể của nó, đã được sử dụng dưới nhiều tên khác nhau như DeathRansom và Fivehands.

Nguồn: BleepingComputer

Related

Tags: bảo mật mạngcảnh báoDeathRansomFivehandsmã độc mã hoáMã độc mã hoá tống tiềnRansomwareREviltin an ninh mạngVMwareVMware ESXi
Dennis@

[email protected]

Người chơi hệ cô độc, với một niềm đam mê về lĩnh vực an toàn thông tin nói riêng và Công nghệ thông tin nói chung.  Tôi luôn luôn sẵn sàng hỗ trợ các bạn, hãy để lại tin nhắn cho tôi nhé

RelatedPosts

Các bước để Kiểm thử xâm nhập cho hệ thống Active Directory - Cybersec365.org
Thủ Thuật Bảo Mật

Các bước để Kiểm thử xâm nhập cho hệ thống Active Directory

21/07/2022
1.5k
Applications

SARENKA – Công cụ OSINT thu thập dữ liệu từ nhiều nền tảng như Shodan, Censys,..

15/07/2022
1.5k
Monitorix – Công cụ giám sát mạng và hệ thống Linux
Chia sẻ Tools

Monitorix – Công cụ giám sát mạng và hệ thống Linux

09/07/2022
1.6k
Command Line for Beginners – Cách sử dụng Terminal như một chuyên gia
How To

Command Line for Beginners – Cách sử dụng Terminal như một chuyên gia

09/07/2022
1.5k
No Result
View All Result

Nổi Bật

  • Trong bài này, mời các bạn cùng với CyberSec365 tìm hiểu xem nmap là gì, cách cài đặt, tải xuống và sử dụng công cụ Nmap.

    Nmap là gì? hướng dẫn sử dụng Nmap cho người mới bắt đầu (P1)

    739 shares
    Share 296 Tweet 185
  • [pfSense toàn tập] Hướng dẫn tải về và cài đặt pfBlockerNG để chặn web https và quảng cáo (phần 2)

    664 shares
    Share 266 Tweet 166
  • [pfSense toàn tập] Hướng dẫn tải về và cài đặt pfSense mới nhất (phần 1)

    663 shares
    Share 265 Tweet 166
  • Chia Sẻ tài khoản NhacCuaTui VIP – HSD 02/05/2023 – CyberSec365.org

    661 shares
    Share 264 Tweet 165
  • Kali Linux sẽ mặc định sử dụng tài khoản Non-Root cho phiên bản 2020.1

    646 shares
    Share 258 Tweet 162

Follow Us On Facebook

Mới Nhất

  • Các bước để Kiểm thử xâm nhập cho hệ thống Active Directory
  • SARENKA – Công cụ OSINT thu thập dữ liệu từ nhiều nền tảng như Shodan, Censys,..
  • Monitorix – Công cụ giám sát mạng và hệ thống Linux
  • Command Line for Beginners – Cách sử dụng Terminal như một chuyên gia
  • Tin tặc đang dần dịch chuyển lĩnh vực hoạt động qua mảng cho thuê các công cụ tấn công mạng

cybersec365.org

© 2021 Cyber Security 365 - Digital Transformation & Cloud Security News.

Bài Viết Mới Nhất

Các bước để Kiểm thử xâm nhập cho hệ thống Active Directory

SARENKA – Công cụ OSINT thu thập dữ liệu từ nhiều nền tảng như Shodan, Censys,..

Monitorix – Công cụ giám sát mạng và hệ thống Linux

Command Line for Beginners – Cách sử dụng Terminal như một chuyên gia

Tin tặc đang dần dịch chuyển lĩnh vực hoạt động qua mảng cho thuê các công cụ tấn công mạng

TikTok sắp biến mất khỏi App Store và CHPlay?

No Result
View All Result
  • Trang Chủ
  • Tin An Ninh Mạng
  • Tin Tức
    • Apple
      • iPhone
      • iPad
      • MacOS
    • Android
    • Cloud
    • Microsoft
      • Windows 11
    • OpenSource
  • Tài Nguyên
    • Chia Sẻ Tài khoản
    • Chia Sẻ Game Mobile hay
    • Pentesting Tools
    • Chia sẻ Tools
  • How To
    • Thủ Thuật Python
    • pfSense Toàn Tập
    • Thủ Thuật Bảo Mật
    • Thủ Thuật Hay
  • Cảnh Báo Bảo Mật
  • Ứng Cứu Sự Cố 24/7

© 2021 Cyber Security 365 - Digital Transformation & Cloud Security News.

Welcome Back!

Login to your account below

Forgotten Password? Sign Up

Create New Account!

Sign Up with Facebook
OR

Fill the forms below to register

All fields are required. Log In

Retrieve your password

Please enter your username or email address to reset your password.

Log In

Add New Playlist