VMware, vServere

Ny Linux-baseret ransomware er rettet mod VMware-servere

Cheerscript planter dobbelt afpresning malware på ESXi-servere.

Forskere ved Trend Micro har opdaget nogle nye Linux-baserede ransomware, der bliver brugt til at angribe VMware ESXi-servere, en ”bare-metal hypervisor” til oprettelse og kørsel af flere virtuelle maskiner (VM’er) der deler den samme harddisklagring. Cheerscrypt følger i fodsporene på andre ransomware-programmer – såsom LockBit, Hive og RansomEXX – der har fundet ESXi en effektiv måde at inficere mange computere på én gang med ødelæggende nyttelast.

Roger Grimes, en cybersikkerhedsanalytikker forklarer, at de fleste af verdens organisationer opererer ved hjælp af virtuelle VMware-maskiner. “Det gør jobbet for ransomware-angribere langt lettere, fordi de kan kryptere en server – VMware-serveren – og derefter kryptere hver gæste-VM, den indeholder. En kompromis- og krypteringskommando kan nemt kryptere snesevis til hundredvis af andre virtuelt drevne computere på én gang.”

“De fleste VM-butikker bruger en slags VM-backupprodukt til at sikkerhedskopiere alle gæsteservere, så at finde og slette eller ødelægge et backuplager dræber backupbilledet for alle de hostede gæsteservere på én gang,” tilføjer Grimes.

Cheerscrypt-bande bruger “dobbelt afpresning”

Trend Micro-researcherne – Arianne Dela Cruz, Byron Gelera, McJustine De Guzman og Warren Sto. Tomas forklarer i deres blog, at Cheerscrypt efter at have erhvervet en inputparameter, der angiver en krypteringssti, udsteder en kommando, der afslutter alle VM-processer for at sikre, at den kan kryptere alle VM-relaterede filer.

Banden bag Cheerscrypt bruger en “dobbelt afpresning” teknik til at udtrække penge fra sine mål, forskerne forklarer. “Sikkerhedsalarm!!!” angribernes løsesummeddelelse erklærer. “Vi hackede din virksomhed med succes. Alle filer er blevet stjålet og krypteret af os. Hvis du ønsker at gendanne dine filer eller undgå fillækager, bedes du kontakte os.”

Forskerne bemærker, at Cheerscrypt bruger offentlig / privat krypteringsteknologi til at kryptere filerne på et offers server. Ransomwares eksekverbare fil indeholder en offentlig nøgle, mens angriberen har den private nøgle, der er nødvendig for at dekryptere de filer, der er krypteret med den offentlige nøgle. Filer krypteres ved hjælp af SOSEMANUK stream cipher, mens ECDH bruges til at oprette SOSEMANUK nøglen.

Forvent, at hackere opgraderer malware for at udvide omfanget af brud

ESXi er meget udbredt i virksomhedsindstillinger til servervirtualisering og derfor et populært mål for ransomware-angreb. Fordi det er et middel til hurtigt at sprede ransomware til mange enheder, tilføjer de, bør organisationer således forvente, at hackerne opgraderer deres malware-arsenal og bryder så mange systemer og platforme som muligt for monetær gevinst.

“Efterhånden som flere organisationer forbedrer deres sikkerhed ved at vedtage multifaktorautentificering med biometri, låser de effektivt hoveddøren, der har været den foretrukne sårbarhed for hackere,” siger John Gunn, administrerende direktør for Token. “Det betyder ikke, at dårlige hackere vil forsvinde. De vil i stedet flytte deres metoder til angreb som dette.”

Kilde: CSOonline

Foto: Pexels