La version Linux du ransomware HelloKitty cible les serveurs VMware ESXi

0

Le gang de ransomware à l’origine de l’attaque très médiatisée contre CD Projekt Red utilise une variante Linux qui cible la plate-forme de machine virtuelle ESXi de VMware pour un maximum de dégâts.

Alors que les entreprises se tournent de plus en plus vers des machines virtuelles pour faciliter la sauvegarde et la gestion des ressources, les gangs de ransomware font évoluer leurs tactiques pour créer des chiffreurs Linux qui ciblent ces serveurs.

VMware ESXi est l’une des plates-formes de machines virtuelles d’entreprise les plus populaires. Au cours de la dernière année, un nombre croissant de gangs de rançongiciels ont publié des chiffreurs Linux ciblant cette plate-forme.

Bien qu’ESXi ne soit pas strictement Linux car il utilise son propre noyau client, il partage de nombreuses caractéristiques similaires, notamment la possibilité d’exécuter des exécutables Linux ELF64.

HelloKitty passe à ESXi

Récemment, le chercheur en sécurité MalwareHunterTeam a trouvé de nombreuses versions de Linux ELF64 du ransomware HelloKitty ciblant les serveurs ESXi et les machines virtuelles qui s’exécutent dessus.

On sait que HelloKitty utilise un chiffreur Linux, mais c’est le premier échantillon que les chercheurs ont repéré publiquement.

MalwareHunterTeam a partagé des échantillons du ransomware, et vous pouvez clairement voir les chaînes faisant référence à ESXi et aux tentatives du ransomware d’arrêter les machines virtuelles en cours d’exécution.

First try kill VM:%ld ID:%d %s

esxcli vm process kill -t=soft -w=%d

Check kill VM:%ld ID:%d

esxcli vm process kill -t=hard -w=%d

Unable to find

Killed VM:%ld ID:%d

still running VM:%ld ID:%d try force

esxcli vm process kill -t=force -w=%d

Check VM:%ld ID: %d manual !!!

.README_TO_RESTORE

Find ESXi:%s

esxcli vm process list

World ID:

Process ID:

Running VM:%ld ID:%d %s

Total VM run on host: %ld

À partir des messages de débogage, nous pouvons voir que le ransomware utilise l’outil de gestion de ligne de commande esxcli d’ESXi pour répertorier les machines virtuelles en cours d’exécution sur le serveur, puis les arrêter.

Les gangs de ransomware ciblant les serveurs ESXi arrêteront les machines virtuelles avant de crypter les fichiers pour empêcher le verrouillage des fichiers et éviter la corruption des données.

Lors de l’arrêt des machines virtuelles, le ransomware tentera d’abord un arrêt progressif à l’aide de la commande « soft »:

esxcli vm process kill -t=soft -w=%d

S’il y a encore des machines virtuelles en cours d’exécution, il tentera un arrêt immédiat des machines virtuelles à l’aide de la commande ‘hard’:

esxcli vm process kill -t=hard -w=%d

Enfin, si les machines virtuelles sont toujours en cours d’exécution, le malware utilisera la commande « force » pour arrêter de force toutes les machines virtuelles en cours d’exécution.

esxcli vm process kill -t=force -w=%d

Une fois les machines virtuelles arrêtées, le ransomware commencera à chiffrer les fichiers .vmdk (disque dur virtuel), .vmsd (métadonnées et informations sur les instantanés) et .vmsn (contient l’état actif de la machine virtuelle).

Cette méthode est très efficace car elle permet à un gang de ransomware de chiffrer de nombreuses machines virtuelles avec une seule commande.

Le mois dernier, MalwareHunterTeam a également trouvé une version Linux du ransomware REvil qui cible les serveurs ESXi et a utilisé la commande esxcli dans le cadre du processus de chiffrement.

Le directeur technique d’Emsisoft, Fabian Wosar, a déclaré à l’époque que d’autres opérations de ransomware, telles que Babuk, RansomExx/Defray, Mespinoza, GoGoogle et l’ancien DarkSide, avaient également créé des chiffreurs Linux pour cibler les machines virtuelles ESXi.

« La raison pour laquelle la plupart des groupes de ransomware ont mis en œuvre une version Linux de leur ransomware est de cibler spécifiquement ESXi », a déclaré Wosar.

Un peu plus d’informations sur HelloKitty

HelloKity est opérationnel depuis Novembre 2020.

Depuis lors, les pirates informatiques n’ont pas été particulièrement actifs par rapport à d’autres opérations de ransomware opérées par l’homme.

Leur attaque la plus connue a été contre CD Projekt Red, où les pirates informatiques ont chiffré les appareils et prétendent avoir volé le code source de Cyberpunk 2077, Witcher 3, Gwent, etc.

Les hackers ont ensuite affirmé que quelqu’un avait acheté les fichiers volés sur CD Projekt Red.

Ce ransomware, ou ses variantes, a été utilisé sous différents noms tels que DeathRansom et Fivehands.

Si cet article vous a plu, n’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire