Linux-версия вымогательского ПО RansomHub нацелена на виртуальные машины VMware ESXi

RansomHub использует Linux-шифровальщик, разработанный специально для шифрования сред VMware ESXi.

RansomHub – это шифровальщик ransomware-as-a-service (RaaS), запущенная в феврале 2024 года и имеющая совпадения в коде и ассоциации с ALPHV/BlackCat и Knight ransomware; на ее счету более 45 жертв в 18 странах.

Существование шифровальщика RansomHub для Windows и Linux было подтверждено в начале мая. Теперь Recorded Future сообщает, что в арсенале хакеров также имеется специализированный вариант для ESXi, который впервые был замечен в апреле 2024 года.

В отличие от Windows и Linux-версий RansomHub, написанных на языке Go, версия для ESXi представляет собой программу на языке C, вероятно, заимствованную из ныне не существующей программы-вымогателя Knight.

Интересно, что компания Recorded Future также обнаружила в версии ESXi простую ошибку, которую хакеры могут использовать, чтобы отправить гипервизор в бесконечный цикл и обойти шифрование.

Шифровальщик ESXi от RansomHub

Предприятия стали использовать виртуальные машины для размещения своих серверов, поскольку они позволяют лучше управлять ресурсами процессора, памяти и хранилища.

В связи с этим почти каждая банда хакеров, нацеленная на предприятия, создала специальные шифровальщики VMware ESXi для защиты этих серверов.

RansomHub не стал исключением: его шифровальщик ESXi поддерживает различные параметры командной строки для установки задержки выполнения, указания того, какие ВМ должны быть исключены из шифрования, какие пути каталогов должны быть выбраны и т. д.

В нем также есть команды и опции, специфичные для ESXi, например vim-cmd vmsvc/getallvms и vim-cmd vmsvc/snapshot.removeall для удаления снимков, а также esxcli vm process kill для выключения ВМ.

Шифровальщик также отключает syslog и другие критически важные службы, чтобы затруднить ведение журнала, и может быть настроен на удаление себя после выполнения, чтобы избежать обнаружение и анализа.

Схема шифрования использует ChaCha20 с Curve25519 для генерации открытых и закрытых ключей и шифрует файлы, связанные с ESXi, такие как .vmdk, .vmx, .vmsn.

В частности, он шифрует только первый мегабайт файлов размером более 1 МБ, повторяя блоки шифрования через каждые 11 МБ. Наконец, он добавляет к каждому зашифрованному файлу 113-байтовый колонтитул, содержащий открытый ключ жертвы.

Записка о выкупе записывается в файлы /etc/motd (Message of the Day) и /usr/lib/vmware/hostd/docroot/ui/index.html, чтобы сделать ее видимой на экранах входа в систему и в веб-интерфейсах.

RansomHub в бесконечный цикл

Аналитики Recorded Future обнаружили, что вариант ESXi использует файл с именем „/tmp/app.pid“ для проверки, не запущен ли уже экземпляр.

Если этот файл существует с идентификатором процесса, программа пытается убить этот процесс и выходит из системы.

Однако если файл содержит -1, вымогатель попадает в бесконечный цикл, где пытается убить несуществующий процесс, фактически нейтрализуя себя.

Практически это означает, что жертвы могут создать файл /tmp/app.pid, содержащий -1, для защиты от варианта RansomHub ESXi.

Зарубин Иван Эксперт по Linux и Windows

Парашютист со стажем. Много читаю и слушаю подкасты. Люблю посиделки у костра, песни под гитару и приближающиеся дедлайны. Люблю путешествовать.

Похожие статьи

Комментарии (0)