Масштабная атака программы-вымогателя ESXiArgs нацелена на серверы VMware ESXi по всему миру

https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/ КСергей Гатлан

3 февраля 2023 г. 14:20 8
VMware
Статья обновлена ​​06.02.23 с добавлением дополнительной информации и обновленной статистики.
Администраторы, хостинг-провайдеры и Французская группа реагирования на компьютерные чрезвычайные ситуации (CERT-FR) предупреждают, что злоумышленники активно нацелены на неисправленные серверы VMware ESXi против уязвимости удаленного выполнения кода двухлетней давности для развертывания новой программы-вымогателя ESXiArgs.
Уязвимость, отслеживаемая как CVE-2021-21974 , вызвана проблемой переполнения динамической памяти в службе OpenSLP, которая может быть использована злоумышленниками, не прошедшими проверку подлинности, в атаках низкой сложности.
«По данным текущих расследований, эти кампании атак, по-видимому, используют уязвимость CVE-2021-21974, исправление для которой доступно с 23 февраля 2021 года», — говорится в сообщении CERT-FR.
«В настоящее время целевыми системами будут гипервизоры ESXi версии 6.x и ранее 6.7».
Чтобы блокировать входящие атаки, администраторы должны отключить уязвимую службу протокола определения местоположения службы (SLP) на гипервизорах ESXi, которые еще не были обновлены.
CERT-FR настоятельно рекомендует установить исправление как можно скорее, но добавляет, что системы, оставшиеся без исправлений, также следует сканировать на наличие признаков компрометации.
CVE-2021-21974 влияет на следующие системы:
ESXi версии 7.x до ESXi70U1c-17325551
ESXi версии 6.7.x до ESXi670-202102401-SG
ESXi версии 6.5.x до ESXi650-202102101-SG
Матье Фейе предупреждает ESXi
Французский поставщик облачных услуг OVHcloud впервые опубликовал отчет, связывающий эту массовую волну атак, нацеленных на серверы VMware ESXi, с операцией программы-вымогателя в Неваде.
«По мнению экспертов из экосистемы, а также властей, они могут быть связаны с программой-вымогателем из Невады и используют CVE-2021-21974 в качестве вектора компрометации. Расследование для подтверждения этих предположений все еще продолжается», — сказал директор по информационной безопасности OVHcloud Жюльен Леврард .
«Атака в первую очередь нацелена на серверы ESXi версии до 7.0 U3i, очевидно, через порт OpenSLP (427)».
Однако вскоре после того, как наша история была опубликована, компания отступила, заявив, что они объяснили это неправильной операцией программы-вымогателя.
В конце первого дня атак было зашифровано около 120 серверов ESXi.
Однако за выходные их число быстро выросло: по данным Censys , в настоящее время во всем мире 2400 устройств VMware ESXi обнаружены как скомпрометированные в ходе кампании по вымогательству .
В бюллетене, опубликованном 6 февраля, VMware подтвердила , что эта атака использует старые недостатки ESXi, а не уязвимость нулевого дня.
Компания советует админам установить последние обновления для серверов ESXi и отключить службу OpenSLP , которая отключена по умолчанию с 2021 года.
Некоторые администраторы, взломанные в результате этой атаки, заявили, что у них не включен SLP [ 1 , 2 ], что еще больше усугубило путаницу в отношении того, как были взломаны серверы.
В целом, кампания по вымогательству не имела большого успеха, учитывая большое количество зашифрованных устройств: служба отслеживания платежей выкупа Ransomwhere сообщила только о четырех платежах выкупа на общую сумму 88 000 долларов США.
Отсутствие выкупа, вероятно, связано с руководством по восстановлению VMware ESXi, созданным исследователем безопасности Энесом Сонмезом, которое позволяет многим администраторам бесплатно перестраивать свои виртуальные машины и восстанавливать свои данные.
Новый вымогатель ESXiArgs
Однако, судя по примечаниям о выкупе, обнаруженным в этой атаке, они не связаны с программой-вымогателем Nevada, а относятся к новому семейству программ-вымогателей.
Примерно четыре часа назад жертвы этой кампании также начали сообщать об атаках на форуме BleepingComputer , прося помощи и дополнительной информации о том, как восстановить свои данные.
Программа-вымогатель шифрует файлы с расширениями .vmxf, .vmx, .vmdk, .vmsd и .nvram на скомпрометированных серверах ESXi и создает файл .args для каждого зашифрованного документа с метаданными (вероятно, необходимыми для расшифровки).
В то время как субъекты угрозы, стоящие за этой атакой, утверждают, что украли данные, одна жертва сообщила на форумах BleepingComputer, что в их инциденте этого не было.
«Наше расследование показало, что данные не были заражены. В нашем случае на атакованной машине было более 500 ГБ данных, но обычное ежедневное использование составляло всего 2 Мбит/с. Мы просмотрели статистику трафика за последние 90 дней и не обнаружили доказательств исходящих данных. перевод", - сказал админ .
Жертвы также нашли заметки о выкупе под названием «ransom.html» и «Как восстановить ваши файлы.html» в заблокированных системах. Другие сказали, что их заметки представляют собой текстовые файлы.
Записка о выкупе ESXiArgs
Записка о выкупе ESXiArgs (BleepingComputer)
Майкл Гиллеспи из ID Ransomware в настоящее время отслеживает программу-вымогатель под именем « ESXiArgs », но сообщил BleepingComputer, что, пока мы не найдем образец, невозможно определить, есть ли у него слабые места в шифровании.
BleepingComputer имеет специальную тему поддержки ESXiArgs , где люди сообщают о своем опыте с этой атакой и получают помощь в восстановлении машин.
Технические детали ESXiArgs
Прошлой ночью администратор получил копию шифровальщика ESXiArgs и связанного с ним сценария оболочки и поделился им в теме поддержки BleepingComputer .
Анализ скрипта и шифровальщика позволил нам лучше понять, как проводились эти атаки.
При взломе сервера в папке /tmp сохраняются следующие файлы:
encrypt — исполняемый файл ELF-шифровальщика. encrypt.sh — сценарий оболочки, который действует как логика атаки, выполняя различные задачи перед запуском шифровальщика, как описано ниже.
public.pem — открытый ключ RSA, используемый для шифрования ключа, который шифрует файл.
motd — примечание о выкупе в текстовом виде, которое будет скопировано в /etc/motd, чтобы оно отображалось при входе в систему. Исходный файл сервера будет скопирован в /etc/motd1.
index.html — примечание о выкупе в формате HTML, которое заменит домашнюю страницу VMware ESXi. Исходный файл сервера будет скопирован в index1.html в той же папке.
Майкл Гиллеспи из ID Ransomware проанализировал шифровальщик и сообщил BleepingComputer, что шифрование, к сожалению, безопасно, а это означает, что никакие криптографические ошибки не позволяют дешифровать.
«Public.pem, который он ожидает, является открытым ключом RSA (я предполагаю, что это RSA-2048, основанный на просмотре зашифрованных файлов, но код технически принимает любой действительный PEM)», — написал Гиллеспи в теме поддержки на форуме .
«Для файла для шифрования он генерирует 32 байта с использованием защищенного CPRNG RAND_pseudo_bytes OpenSSL , а затем этот ключ используется для шифрования файла с использованием Sosemanuk, безопасного потокового шифра. Ключ файла шифруется с помощью RSA (OpenSSL RSA_public_encrypt ) и добавляется к конец файла».
«Использование алгоритма Sosemanuk довольно уникально и обычно используется только в программах-вымогателях, полученных из исходного кода Babuk (вариант ESXi). Возможно, это так, но они модифицировали его для использования RSA вместо реализации Babuk Curve25519».
Этот анализ показывает, что ESXiArgs, вероятно, основан на утечке исходного кода Babuk , который ранее использовался другими кампаниями по вымогательству ESXi, такими как CheersCrypt и шифровальщик PrideLocker группы Quantum/Dagon .
Хотя примечания о выкупе для ESXiArgs и Cheerscrypt очень похожи, метод шифрования отличается, поэтому неясно, является ли это новым вариантом или просто общей кодовой базой Babuk.
Кроме того, похоже, что это не связано с программой-вымогателем из Невады, как ранее упоминалось OVHcloud.
Шифровальщик выполняется файлом сценария оболочки, который запускает его с различными аргументами командной строки, включая файл с открытым ключом RSA, файл для шифрования, фрагменты данных, которые не будут зашифрованы, размер блока шифрования и файл. размер.
usage: encrypt <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]
enc_step - number of MB to skip while encryption
enc_size - number of MB in encryption block
file_size - file size in bytes (for sparse files)
Этот шифратор запускается с помощью сценария оболочки encrypt.sh , который действует как логика атаки, которую мы кратко опишем ниже.
При запуске сценарий выполнит следующую команду для изменения файлов конфигурации виртуальной машины ESXi (.vmx), чтобы строки « .vmdk» и « .vswp» были изменены на « 1.vmdk» и « 1.vswp ».
Изменение файлов VMX
Изменение файлов VMX
Источник: BleepingComputer
Затем сценарий завершает работу всех запущенных виртуальных машин, принудительно завершая (kill -9) все процессы, содержащие строку ' vmx ', аналогично тому, как это описано в этой статье службы поддержки VMware .
Затем сценарий использует esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F' ' '{print $2}команду ' '' для получения списка томов ESXi.
Скрипт будет искать на этих томах файлы, соответствующие следующим расширениям:
.vmdk
.vmx
.vmxf
.vmsd
.vmsn
.vswp
.vmss
.nvram
.vmem
Для каждого найденного файла сценарий создает файл [имя_файла].args в той же папке, который содержит вычисленный шаг размера (показан ниже), «1» и размер файла.
Например, server.vmx будет иметь связанный файл server.vmx.args.
Затем скрипт будет использовать исполняемый файл «encrypt» для шифрования файлов на основе вычисленных параметров, как показано на снимке экрана ниже.
Подпрограмма для создания файлов .args и шифрования файлов
Процедура создания файлов .args и шифрования файлов
Источник: BleepingComputer
После шифрования сценарий заменит файл ESXi index.html и файл motd сервера на примечания о выкупе, как описано выше.
Наконец, скрипт выполняет некоторую очистку, удаляя журналы, удаляя бэкдор Python, установленный в /store/packages/ vmtools.py [ VirusTotal ], и удаляя различные строки из следующих файлов:
/var/spool/cron/crontabs/root
/bin/ hostd-probe.sh /etc/vmware/rhttpproxy/endpoints.conf
/etc/rc.local.d/ local.sh Очистка различных файлов конфигурации Linux и потенциального бэкдора
Очистка различных файлов конфигурации Linux и потенциального бэкдора
Источник: BleepingComputer
Файл /store/packages/ vmtools.py — это тот же специальный бэкдор Python для сервера VMware ESXi, обнаруженный Juniper в декабре 2022 года, позволяющий злоумышленникам получить удаленный доступ к устройству.
Все администраторы должны проверить наличие этого файла vmtools.py , чтобы убедиться, что он был удален. В случае обнаружения файл следует немедленно удалить.
Наконец, сценарий выполняет файл /sbin/ auto-backup.sh для обновления конфигурации, сохраненной в файле /bootbank/state.tgz, и запускает SSH.
Это развивающаяся история, и она будет обновляться новой информацией по мере ее появления...
Обновление от 04.02.23: Добавлены технические подробности об атаке. - Обновление Лоуренса Абрамса
от 05.02.23: добавлено новое количество зашифрованных серверов ESXi и метод восстановления виртуальных машин.
Обновление от 06.02.23: Добавлена ​​информация от VMware и известные платежи за выкуп.
Статьи по Теме:
Новая версия программы-вымогателя ESXiArgs препятствует восстановлению VMware ESXi
CISA выпускает сценарий восстановления для жертв программы-вымогателя ESXiArgs
VMware предупреждает администраторов об исправлении серверов ESXi, отключении службы OpenSLP
Linux-версия Royal Ransomware нацелена на серверы VMware ESXi
Неделя программ-вымогателей — 3 февраля 2023 г. — заканчивается беспорядком
ESXIARGS НЕВАДА RANSOMWARE ПРОГРАММЫ-ВЫМОГАТЕЛИ VMWARE VMWARE ESXI
СЕРГЕЙ ГАТЛАН
Серджиу Гатлан ​​занимается кибербезопасностью, технологиями и некоторыми другими темами уже более десяти лет. Электронная почта или Twitter DM для советов.
ПРЕДЫДУЩАЯ СТАТЬЯСЛЕДУЮЩАЯ СТАТЬЯ
Комментарии
notta3d фото
нота3д - 1 неделю назад
Является ли это неправильной цитатой: «Атака в первую очередь нацелена на серверы ESXi в версии до 7.0 U3i, по-видимому, через порт OpenSLP (427)»?
CVE сообщает: «OpenSLP используется в ESXi (7.0 до ESXi70U1c-17325551»
Сергей Фото
сергей - 1 неделю назад
Никакой неправильной цитаты, это то, что сказал директор по информационной безопасности OVHcloud, и почему я процитировал эту часть.
Пардос99 Фото
пардос99 - 1 неделю назад
andrzejsiadak Опубликовано сегодня, 16:52 на форуме Esxi Ransomware в разделе справки и поддержки (расширение ESXiArgs / .args)
«у нас не включен slp, и мы атакованы файлами .args»
НовостиТехнология Фото
НовостиТехнологии - 1 неделю назад
В течение многих лет у провайдера, пострадавшего от этого, был VPS, он активно использовался и содержал массу важных данных и пользовательских конфигураций. Таким образом, я потерял как минимум 6+ лет работы и истории, хранящейся на VPS. Это главный хит. Это был сервер на 9 ТБ, поэтому его было нелегко просто создать резервную копию, поскольку я не могу просто купить оборудование для резервного копирования; передача данных между мной и VPS слишком медленная. Я всегда предполагал, что если я что-то потеряю, то это произойдет из-за аппаратного сбоя, который можно будет восстановить; Я никогда не предполагал, что это будет атака программ-вымогателей, подобная этой, со стороны провайдера из-за неисправленных ESXi. Мое нынешнее эмоциональное состояние представляет собой смесь шока и депрессии. (В понедельник утром я поскользнулся на льду и сломал локоть, так что… два сильных удара за одну неделю. Это все, что я могу вынести!)
фото
Яннисп - 1 неделю назад
Если у вас было 9 ТБ данных, хранящихся на больших виртуальных дисках БЕЗ моментальных снимков, вы сможете восстановить большую часть своих данных.
Перейдите по ссылкам выше, чтобы пройти обсуждение на форуме, или попросите эксперта сделать это от вашего имени; но не приступайте к удалению или изменению чего-либо, пока вы не решите лишиться своих надежд или пока не будете абсолютно уверены в том, что делаете.
leexgx Фото
leexgx - 1 неделю назад
Я предполагаю, что это единственная шифрующая часть файла виртуальной машины (если бы это было не так, вы могли бы потенциально остановиться, прежде чем получить каждую виртуальную машину, так как большинство виртуальных машин не маленькие, и для шифрования всего файла потребуется много времени) 6 лет без резервного копирования, надеюсь,
это было не важно (если восстановление невозможно)
НовостиТехнология Фото
НовостиТехнологии - 1 неделю назад
Это было чрезвычайно важно, у меня сложилось ошибочное впечатление, что служба периодически делает резервные копии. Я был неправ.
НовостиТехнология Фото
НовостиТехнологии - 1 неделю назад
Они смогли расшифровать и вернуть VPS с помощью enes.dev .
Я не могу в это поверить. Это как чудо.
Я также чувствую себя мелочным, увидев, что происходит в Турции/Сирии. А если бы я там жил?
Теперь буду пользоваться iDrive. :П
Оставить комментарий