La version Linux de BlackMatter cible les serveurs VMware

0

Le gang BlackMatter a rejoint les rangs des opérations de ransomware pour développer un chiffreur Linux qui cible la plate-forme de machine virtuelle ESXi de VMware.

L’entreprise s’oriente de plus en plus vers des machines virtuelles pour ses serveurs afin d’améliorer la gestion des ressources et la reprise après sinistre.

VMware ESXi étant la plate-forme de machines virtuelles la plus populaire, presque toutes les opérations de ransomware ciblant les entreprises ont commencé à publier des chiffreurs qui ciblent spécifiquement ses machines virtuelles.

BlackMatter cible VMware ESXi

Les chercheurs en sécurité de MalwareHunterTeam ont trouvé un chiffreur Linux ELF64 [VirusTotal] pour le gang de ransomware BlackMatter qui cible spécifiquement les serveurs VMware ESXi en fonction de sa fonctionnalité.

BlackMatter est une opération de ransomware relativement nouvelle qui a débuté le mois dernier et qui serait une nouvelle image de DarkSide. Après que les chercheurs aient trouvé des échantillons, il a été déterminé que les routines de cryptage utilisées par le ransomware étaient les mêmes que celles personnalisées et uniques utilisées par DarkSide.

DarkSide s’est fermé après avoir attaqué Colonial Pipeline, puis ressenti la pression totale de l’application de la loi internationale et du gouvernement américain.

D’après l’exemple de chiffrement Linux de BlackMatter partagé, il est clair qu’il a été conçu uniquement pour cibler les serveurs VMWare ESXi.

Vitali Kremez d’Intel Advanced a procédé à l’ingénierie inverse de l’échantillon et a déclaré que les acteurs de la menace avaient créé une bibliothèque « esxi_utils » qui est utilisée pour effectuer diverses opérations sur les serveurs VMware ESXi.

/sbin/esxcli
bool app::esxi_utils::get_domain_name(std::vector >&)
bool app::esxi_utils::get_running_vms(std::vector >&)
bool app::esxi_utils::get_process_list(std::vector >&)
bool app::esxi_utils::get_os_version(std::vector >&)
bool app::esxi_utils::get_storage_list(std::vector >&)
std::string app::esxi_utils::get_machine_uuid()
bool app::esxi_utils::stop_firewall()
bool app::esxi_utils::stop_vm(const string&)

Kremez nous a dit que chaque fonction exécuterait une commande différente à l’aide de l’outil de gestion de ligne de commande esxcli, telle que la liste des machines virtuelles, l’arrêt du pare-feu, l’arrêt d’une machine virtuelle, etc.

Par exemple, la fonction stop_firewall() exécutera la commande suivante :

esxcli network firewall  set --enabled false

Tandis que stop_vm() exécutera la commande esxcli suivante :

esxcli vm process kill --type=force --world-id [ID]

Tous les ransomwares qui ciblent les serveurs ESXi tentent d’arrêter les machines virtuelles avant de chiffrer les disques. Ceci est fait pour empêcher les données d’être corrompues pendant qu’elles sont cryptées.

Une fois toutes les machines virtuelles fermées, il chiffrera les fichiers qui correspondent à des extensions de fichiers spécifiques en fonction de la configuration incluse avec le ransomware.

Le ciblage des serveurs ESXi est très efficace lors de la conduite d’attaques de ransomware, car il permet aux pirates informatiques de chiffrer de nombreux serveurs à la fois avec une seule commande.

Alors que de plus en plus d’entreprises adoptent ce type de plate-forme pour leurs serveurs, nous continuerons de voir des développeurs de ransomwares se concentrer principalement sur les machines Windows, mais également créer un chiffrement Linux dédié ciblant ESXi.

Le directeur technique d’Emsisoft, Fabian Wosar, a déclaré que d’autres opérations de ransomware, telles que REvil, HelloKitty, Babuk, RansomExx/Defray, Mespinoza, GoGoogle, ont également créé des chiffreurs Linux à cette fin.

Laisser un commentaire