Amenințare ransomware care vizează serverele VMware ESXi

O nouă amenințare de tip ransomware numită HelloKitty, este folosită pentru atacurile serverelor VMware ESXi și VMs.

 Cercetătorii au descoperit recent un program de criptare Linux care este folosit de grupul de atacatori HelloKitty.

 Echipa de securitate MalwareHunterTeam a descoperit recent numeroase versiuni Linux ELF-64 ale ransomware-ului HelloKitty. Executable and Linkable Format – ELF-64 este un format de fișier standard pentru fișierele executabile care rulează în sistemele de operare Linux și UNIX.

 Sistemul VMware ESXi cunoscut anterior ca ESX realizează partiționarea mai multor mașini virtuale și partajează același spațiu de stocare pe hard disk. Arhitectura acestui sistem duce la o configurare vulnearabilă , iar atacatorii pot cripta unitățile de hard disk virtuale centralizate care sunt utilizate pentru a stoca date de pe toate VM-urile.

 Vicepreședintele pentru cercetarea securității de la New Net Technologies(NNT), Dirk Schrader, a declarant că serverele ESXi sunt principala țintă. Un singur server EXSi 7 poate găzdui până la 1024 VM-uri.

 Cei de la MalwareHunterTeam au distribuit o variantă a ransomware-ului HelloKitty Linux prin intermediul site-ului web BleepingComputer și au publicat detalii tehnice și informații care fac referință la ESXi. Ransomware-ul folosește instrumentul „esxcli” al lui ESXi pentru a lista VM-urile care rulează pe server și pentru a încerca să le oprească forțat.

 Directorul principal al soluțiilor și investigațiilor de la firma de securitate cibernetică Coalfire, Andrew Barratt, a declarat că atacatorii au creat o rețea împotriva sistemelor de operare Windows, Linux, ESXi , dar și a platformelor precum Magento.

Pe lângă variantele de ransomware  HelloKitty și REvil, atacatorii au introdus criptori Linux pentru a viza VM-urile ESXi precum Babuk, RansomExx / Defray 777, PYSA / Mespinoza, GoGoogle și DarkSide. Cercetătorul Schrader a recomandat că cea mai bună apărare împotriva atacatorilor constă într-o monitorizare strictă, pentru a alerta despre orice schimbare care se întâmplă în ESXi, dar și analiza în permanență a sistemului de fișiere și setărilor de configurare.

Sursa: https://threatpost.com/linux-variant-of-hellokitty-ransomware-targets-vmware-esxi-servers/167883/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică