La version Linux de HelloKitty Ransomware cible les serveurs VMware ESXi

  • Principal
  • Nouvelles
  • La version Linux de HelloKitty Ransomware cible les serveurs VMware ESXi

Le gang de rançongiciels à l'origine de l'attaque très médiatisée contre CD Projekt Red utilise une variante Linux qui cible la plate-forme de machine virtuelle ESXi de VMware pour un maximum de dégâts.

Alors que l'entreprise se tourne de plus en plus vers les machines virtuelles pour simplifier la sauvegarde et la gestion des ressources, les gangs de ransomwares font évoluer leurs tactiques pour créer un chiffrement Linux ciblant ces serveurs.

VMware ESXi est l'une des plates-formes de machines virtuelles d'entreprise les plus populaires. Au cours de l'année écoulée, un nombre croissant de groupes de rançongiciels ont publié le cryptage Linux ciblant cette plate-forme.

Bien qu'ESXi ne soit pas strictement Linux, car il utilise son propre noyau client, il partage de nombreuses fonctionnalités similaires, notamment la possibilité d'exécuter des exécutables Linux ELF64.

HelloKitty passe à ESXi

Hier, chercheur en sécurité MalwareHunterEquipo a trouvé de nombreuses versions ELF64 Linux du rançongiciel HelloKitty ciblant les serveurs ESXi et les machines virtuelles qui y sont exécutées.

HelloKitty est connu pour utiliser un encodeur Linux, mais c'est le premier échantillon que les chercheurs ont publiquement repéré.

MalwareHunterTeam a partagé des échantillons du ransomware avec BleepingComputer, et vous pouvez clairement voir les chaînes faisant référence à ESXi et les tentatives du ransomware d'arrêter les machines virtuelles en cours d'exécution.

|__+_|

D'après les messages de débogage, nous pouvons voir que le ransomware utilise ESXi |__+_| outil d'administration en ligne de commande pour répertorier les machines virtuelles en cours d'exécution sur le serveur, puis les arrêter.

Les groupes de rançongiciels ciblant les serveurs ESXi éteindront les machines virtuelles avant de chiffrer les fichiers pour éviter qu'ils ne soient verrouillés et empêcher la corruption des données.

Lors de l'arrêt des machines virtuelles, le ransomware tentera d'abord un arrêt correct à l'aide de la commande 'soft' :

|__+_|

S'il y a encore des machines virtuelles en cours d'exécution, il essaiera d'arrêter les machines virtuelles immédiatement à l'aide de la commande 'hard' :

|__+_|

Enfin, si les machines virtuelles sont toujours en cours d'exécution, le logiciel malveillant utilisera la commande 'force' pour arrêter de force toutes les machines virtuelles en cours d'exécution.

|__+_|

Une fois les machines virtuelles éteintes, le ransomware commencera à se chiffrer .vmdk (disque dur virtuel), .vmsd (métadonnées et informations d'instantané), et .vmsn (contient l'état actif de la VM).

Cette méthode est très efficace car elle permet à un gang de rançongiciels de chiffrer de nombreuses machines virtuelles avec une seule commande.

Le mois dernier, MalwareHunterTeam a également trouvé une version Linux du rançongiciel REvil qui cible les serveurs ESXi et a utilisé la commande esxcli dans le cadre du processus de chiffrement.

Fabian Wosar, directeur technique d'Emsisoft, a déclaré à l'époque à BleepingComputer que d'autres opérations de ransomware, notamment Babuk, RansomExx/Defray, Mespinoza, GoGoogle et le désormais disparu DarkSide, avaient également créé des cryptographes Linux pour cibler les machines virtuelles ESXi.

'La raison pour laquelle la plupart des groupes de ransomwares ont déployé une version basée sur Linux de leur ransomware est de cibler spécifiquement ESXi', a déclaré Wosar.

Un peu de Hello Kitty

HelloKity est opérationnel depuis novembre 2020, date à laquelle une victime a publié pour la première fois des informations sur le ransomware sur nos forums.

Depuis lors, les acteurs de la menace n'ont pas été particulièrement actifs par rapport aux autres opérations de rançongiciels gérées par l'homme.

Leur attaque la plus connue était contre CD Projekt Red, où les acteurs de la menace ont chiffré les appareils et prétendent avoir volé le code source de Cyberpunk 2077, Witcher 3, Gwent et d'autres.

Les acteurs de la menace ont affirmé plus tard que quelqu'un avait acheté les fichiers volés à CD Projekt Red.

Ce ransomware ou ses variantes ont été utilisés sous différents noms comme DeathRansom et Fivehands.

Qu'est-ce que tu penses?