RansomHub использует Linux-шифровальщик, разработанный специально для шифрования сред VMware ESXi.
RansomHub – это шифровальщик ransomware-as-a-service (RaaS), запущенная в феврале 2024 года и имеющая совпадения в коде и ассоциации с ALPHV/BlackCat и Knight ransomware; на ее счету более 45 жертв в 18 странах.
Существование шифровальщика RansomHub для Windows и Linux было подтверждено в начале мая. Теперь Recorded Future сообщает, что в арсенале хакеров также имеется специализированный вариант для ESXi, который впервые был замечен в апреле 2024 года.
В отличие от Windows и Linux-версий RansomHub, написанных на языке Go, версия для ESXi представляет собой программу на языке C, вероятно, заимствованную из ныне не существующей программы-вымогателя Knight.
Интересно, что компания Recorded Future также обнаружила в версии ESXi простую ошибку, которую хакеры могут использовать, чтобы отправить гипервизор в бесконечный цикл и обойти шифрование.
Шифровальщик ESXi от RansomHub
Предприятия стали использовать виртуальные машины для размещения своих серверов, поскольку они позволяют лучше управлять ресурсами процессора, памяти и хранилища.
В связи с этим почти каждая банда хакеров, нацеленная на предприятия, создала специальные шифровальщики VMware ESXi для защиты этих серверов.
RansomHub не стал исключением: его шифровальщик ESXi поддерживает различные параметры командной строки для установки задержки выполнения, указания того, какие ВМ должны быть исключены из шифрования, какие пути каталогов должны быть выбраны и т. д.
В нем также есть команды и опции, специфичные для ESXi, например vim-cmd vmsvc/getallvms и vim-cmd vmsvc/snapshot.removeall для удаления снимков, а также esxcli vm process kill для выключения ВМ.
Шифровальщик также отключает syslog и другие критически важные службы, чтобы затруднить ведение журнала, и может быть настроен на удаление себя после выполнения, чтобы избежать обнаружение и анализа.
Схема шифрования использует ChaCha20 с Curve25519 для генерации открытых и закрытых ключей и шифрует файлы, связанные с ESXi, такие как .vmdk, .vmx, .vmsn.
В частности, он шифрует только первый мегабайт файлов размером более 1 МБ, повторяя блоки шифрования через каждые 11 МБ. Наконец, он добавляет к каждому зашифрованному файлу 113-байтовый колонтитул, содержащий открытый ключ жертвы.
Записка о выкупе записывается в файлы /etc/motd (Message of the Day) и /usr/lib/vmware/hostd/docroot/ui/index.html, чтобы сделать ее видимой на экранах входа в систему и в веб-интерфейсах.
RansomHub в бесконечный цикл
Аналитики Recorded Future обнаружили, что вариант ESXi использует файл с именем „/tmp/app.pid“ для проверки, не запущен ли уже экземпляр.
Если этот файл существует с идентификатором процесса, программа пытается убить этот процесс и выходит из системы.
Однако если файл содержит -1, вымогатель попадает в бесконечный цикл, где пытается убить несуществующий процесс, фактически нейтрализуя себя.
Практически это означает, что жертвы могут создать файл /tmp/app.pid, содержащий -1, для защиты от варианта RansomHub ESXi.
Комментарии (0)