HelloKitty勒索軟件的Linux變體被用于攻擊VMware ESXi系統(tǒng)

對(duì)CDProjekt Red大肆宣傳的攻擊背后的勒索軟件團(tuán)伙使用Linux變體，該變體以VMware的ESXi虛擬機(jī)平臺(tái)為目標(biāo)，實(shí)施最大限度地破壞。

隨著企業(yè)越來(lái)越多地轉(zhuǎn)向虛擬機(jī)，以實(shí)現(xiàn)更輕松的備份和資源管理，勒索軟件團(tuán)伙正在演變他們的策略，以創(chuàng)建針對(duì)這些服務(wù)器的Linux加密器。

VMware ESXi 是最受歡迎的企業(yè)虛擬機(jī)平臺(tái)之一，在過(guò)去的一年中，越來(lái)越多的勒索軟件團(tuán)伙發(fā)布了針對(duì)該平臺(tái)的Linux加密器。

雖然ESXi并非嚴(yán)格意義上的Linux，因?yàn)樗褂米约旱目蛻魞?nèi)核，但它們確實(shí)具有許多相似的特性，包括運(yùn)行ELF64 Linux可執(zhí)行文件的能力。

HelloKitty遷移到ESXi

上周，安全研究員發(fā)現(xiàn)了許多Linux ELF64版本的Hello Kitty勒索軟件，其目標(biāo)是ESXi服務(wù)器和在其上運(yùn)行的虛擬機(jī)。

眾所周知，Hello Kitty使用Linux加密器，但這是研究人員公開(kāi)發(fā)現(xiàn)的第一個(gè)樣本。

網(wǎng)絡(luò)安全研究人員共享了勒索軟件的樣本，可以清楚地看到引用ESXi的字符串以及勒索軟件試圖關(guān)閉正在運(yùn)行的虛擬機(jī)。

First try kill VM:%ld ID:%d %s

esxcli vm process kill -t=soft -w=%d

Check kill VM:%ld ID:%d

esxcli vm process kill -t=hard -w=%d

Unable to find

Killed VM:%ld ID:%d

still running VM:%ld ID:%d try force

esxcli vm process kill -t=force -w=%d

Check VM:%ld ID: %d manual !!!

.README_TO_RESTORE

Find ESXi:%s

esxcli vm process list

World ID:

Process ID:

Running VM:%ld ID:%d %s

Total VM run on host: %ld

從調(diào)試信息中，我們可以看到勒索軟件利用ESXi的esxcli命令行管理工具列出服務(wù)器上正在運(yùn)行的虛擬機(jī)，然后將其關(guān)閉。

針對(duì)ESXi服務(wù)器的勒索軟件團(tuán)伙將在加密文件之前關(guān)閉虛擬機(jī)，以防止文件被鎖定并避免數(shù)據(jù)損壞。

一些Darkside附屬公司傾向于在開(kāi)始加密之前忘記停止所有ESXi守護(hù)進(jìn)程。結(jié)果是有時(shí)加密的數(shù)據(jù)可能與未加密的數(shù)據(jù)交錯(cuò)，或者包含文件密鑰的頁(yè)腳被部分覆蓋。

關(guān)閉虛擬機(jī)時(shí)，勒索軟件將首先使用“soft”命令嘗試正常關(guān)閉：

esxcli vm process kill -t=soft -w=%d

如果仍有虛擬機(jī)在運(yùn)行，它將嘗試使用“hard”命令立即關(guān)閉虛擬機(jī)：

esxcli vm process kill -t=hard -w=%d

最后，如果虛擬機(jī)仍在運(yùn)行，惡意軟件將使用“force”命令強(qiáng)制關(guān)閉任何正在運(yùn)行的虛擬機(jī)。

esxcli vm process kill -t=force -w=%d

虛擬機(jī)關(guān)閉后，勒索軟件將開(kāi)始加密.vmdk(虛擬硬盤)、.vmsd(元數(shù)據(jù)和快照信息)和 .vmsn(包含VM的活動(dòng)狀態(tài))文件。

這種方法非常有效，因?yàn)樗试S勒索軟件團(tuán)伙使用單個(gè)命令加密許多虛擬機(jī)。

上個(gè)月，網(wǎng)絡(luò)安全研究人員還發(fā)現(xiàn)了一個(gè)Linux版本的REvil勒索軟件，它針ESXi服務(wù)器并使用esxcli命令作為加密過(guò)程的一部分。

Emsisoft首席技術(shù)官當(dāng)時(shí)告訴記者，其他勒索軟件操作，如 Babuk、RansomExx/Defray、Mespinoza、Go Google和現(xiàn)已解散的DarkSide，也創(chuàng)建了Linux加密器來(lái)針對(duì)ESXi虛擬機(jī)。

大多數(shù)勒索軟件組織實(shí)施基于Linux版本的勒索軟件的原因是專門針對(duì)ESXi。

關(guān)于HelloKitty的一些信息

HelloKity自2020年11月開(kāi)始運(yùn)營(yíng)，當(dāng)時(shí)受害者首次在論壇上發(fā)布了有關(guān)勒索軟件的信息。從那時(shí)起，與其他人為操作的勒索軟件操作相比，HelloKity并沒(méi)有特別積極。

他們最著名的攻擊是針對(duì)CD Projekt Red，攻擊者加密設(shè)備并聲稱竊取Cyberpunk 2077、Witcher 3、Gwent等的源代碼。

攻擊者后來(lái)聲稱有人購(gòu)買了從CD Projekt Red竊取的文件。該勒索軟件或其變體曾以不同的名稱使用，例如DeathRansom和Fivehands。

隨著勒索軟件橫行，網(wǎng)絡(luò)安全問(wèn)題已廣受重視。包括中國(guó)在內(nèi)，美國(guó)、俄羅斯及德國(guó)等國(guó)家均已紛紛出臺(tái)相關(guān)政策及法規(guī)。不難發(fā)現(xiàn)，確保網(wǎng)絡(luò)安全和數(shù)據(jù)安全已經(jīng)成為國(guó)際上的重點(diǎn)工作。

伴隨惡意軟件的升級(jí)，犯罪團(tuán)伙通過(guò)竊取數(shù)據(jù)或加密等方式不斷打擊國(guó)家關(guān)鍵基礎(chǔ)設(shè)施，從而造成除經(jīng)濟(jì)之外的重大影響，嚴(yán)重影響社會(huì)生活運(yùn)轉(zhuǎn)。而作為網(wǎng)絡(luò)最基礎(chǔ)的部分之一——軟件安全，在確保網(wǎng)絡(luò)安全上起到重要作用。不難發(fā)現(xiàn)，惡意軟件大多數(shù)通過(guò)軟件系統(tǒng)的安全漏洞實(shí)施入侵，從而進(jìn)行橫向移動(dòng)或發(fā)生軟件供應(yīng)鏈攻擊，因此確保軟件安全在一定程度上可以阻止大部分犯罪分子的攻擊，為網(wǎng)絡(luò)安全增加保障。

參讀鏈接：

https://www.bleepingcomputer.com/news/security/linux-version-of-hellokitty-ransomware-targets-vmware-esxi-servers/