Ένα δείγμα του κρυπτογράφησης VMware ESXi της συμμορίας Qilin ransomware βρέθηκε και θα μπορούσε να είναι ένας από τους πιο προηγμένους και προσαρμόσιμους κρυπτογραφητές Linux που έχουν δει μέχρι σήμερα.
Η επιχείρηση μετακινείται ολοένα και περισσότερο σε εικονικές μηχανές για να φιλοξενήσει τους διακομιστές της, καθώς επιτρέπουν την καλύτερη χρήση των διαθέσιμων πόρων CPU, μνήμης και αποθήκευσης.
Λόγω αυτής της υιοθέτησης, σχεδόν όλες οι συμμορίες ransomware έχουν δημιουργήσει αποκλεισ
τι
κούς κρυπτογραφητές VMware ESXi για να στοχεύουν αυτούς τους διακομιστές.
Ενώ πολλές λειτουργίες ransomware χρησιμοποιούν τον πηγαίο κώδικα Babuk που διέρρευσε για να δημιουργήσουν τους κρυπτογραφητές τους, μερικές, όπως το Qilin, δημιουργούν τους δικούς τους κρυπτογραφητές για να στοχεύουν διακομιστές Linux.
Το Qilin στοχεύει το VMware ESXi
Τον περασμένο μήνα, ερευνητής ασφάλειας
MalwareHunterTeam
βρήκε έναν κρυπτογράφηση Linux ELF64 για τη συμμορία ransomware Qilin και τον μοιράστηκε με το BleepingComputer για ανάλυση.
Ενώ ο κρυπτογραφητής μπορεί να χρησιμοποιηθεί σε διακομιστές Linux, FreeBSD και VMware ESXi, εστιάζει σε μεγάλο βαθμό στην κρυπτογράφηση εικονικών μηχανών και στη διαγραφή των στιγμιότυπών τους.
Ο κρυπτογραφητής του Qilin είναι κατασκευασμένος με μια ενσωματωμένη διαμόρφωση που καθορίζει την επέκταση για τα κρυπτογραφημένα αρχεία, τις διεργασίες που πρέπει να τερματιστούν, τα αρχεία για κρυπτογράφηση ή εξαίρεση και τους φακέλους για κρυπτογράφηση ή εξαίρεση.
Ωστόσο, περιλαμβάνει επίσης πολλά επιχειρήματα γραμμής εντολών που επιτρέπουν την εκτενή προσαρμογή αυτών των επιλογών διαμόρφωσης και τον τρόπο με τον οποίο κρυπτογραφούνται τα αρχεία σε έναν διακομιστή.
Αυτά τα ορίσματα της γραμμής εντολών περιλαμβάνουν επιλογές για την ενεργοποίηση μιας λειτουργίας εντοπισμού σφαλμάτων, την εκτέλεση στεγνής εκτέλεσης χωρίς κρυπτογράφηση αρχείων ή την προσαρμογή του τρόπου με τον οποίο κρυπτογραφούνται οι εικονικές μηχανές και τα στιγμιότυπά τους.
Κρυπτογράφηση Qilin Linux
Πηγή: BleepingComputer
Η πλήρης λίστα των επιλογών της γραμμής εντολών παρατίθεται παρακάτω:
Στο δείγμα που αναλύθηκε από το BleepingComputer.com, ο κρυπτογραφητής έχει διαμορφωθεί από προεπιλογή με τις ακόλουθες εξαιρέσεις και κριτήρια στόχευσης:
Διαδικασίες για να μην τερματιστούν:
"kvm", "qemu", "xen"
Κατάλογοι προς εξαίρεση από την κρυπτογράφηση:
"/boot/", "/proc/", "/sys/", "/run/", "/dev/", "/lib/", "/etc/", "/bin/", "/mbr/", "/lib64/", "/vmware/lifecycle/", "/vdtc/", "/healthd/"
Αρχεία προς εξαίρεση από την κρυπτογράφηση:
"initrd", "vmlinuz", "basemisc.tgz", "boot.cfg", "bootpart.gz", "features.gz", "imgdb.tgz", "jumpstrt.gz", "onetime.tgz", "state.tgz", "useropts.gz"
Επεκτάσεις αρχείων για εξαίρεση από την κρυπτογράφηση:
"v00", "v01", "v02", "v03", "v04", "v05", "v06", "v07", "v08", "v09", "b00", "b01", "b02", "b03", "b04", "b05", "b06", "b07", "b08", "b09", "t00", "t01", "t02", "t03", "t04", "t05", "t06", "t07", "t08", "t09"
Κατάλογοι προς στόχευση για κρυπτογράφηση:
"/home", "/usr/home", "/tmp", "/var/www", "/usr/local/www", "/mnt", "/media", "/srv", "/data", "/backup", "/var/lib/mysql", "/var/mail", "/var/spool/mail", "/var/vm", "/var/lib/vmware", "/opt/virtualbox", "/var/lib/xen", "/var/opt/xen", "/kvm", "/var/lib/docker", "/var/lib/libvirt", "/var/run/sr-mount", "/var/lib/postgresql", "/var/lib/redis", "/var/lib/mongodb", "/var/lib/couchdb", "/var/lib/neo4j", "/var/lib/cassandra", "/var/lib/riak", "/var/lib/influxdb", "/var/lib/elasticsearch"
Αρχεία προς στόχευση για κρυπτογράφηση:
"3ds", "3g2", "3gp", "7z", "aac", "abw", "ac3", "accdb", "ai", "aif", "aiff", "amr", "apk", "app", "asf", "asx", "atom", "avi", "bak", "bat", "bmp", "bup", "bz2", "cab", "cbr", "cbz", "cda", "cdr", "chm", "class", "cmd", "conf", "cow", "cpp", "cr2", "crdownload", "cs", "csv", "cue", "cur", "dat", "db", "dbf", "dds", "deb", "der", "desktop", "dmg", "dng", "doc", "docm", "dot", "dotm", "dotx", "dpx", "drv", "dtd", "dvi", "dwg", "dxf", "eml", "eps", "epub", "f4v", "fnt", "fon", "gam", "ged", "gif", "gpx", "gz", "h264", "hdr", "hpp", "hqx", "htm", "html", "ibooks", "ico", "ics", "iff", "image", "img", "indd", "iso", "jar", "java", "jfif", "jpe", "jpeg", "jpf", "jpg", "js", "json", "jsp", "key", "kml", "kmz", "log", "m4a", "m4b", "m4p", "m4v", "mcd", "mdbx", "mht", "mid", "mkv", "ml", "mobi", "mov", "mp3", "mp4", "mpa", "mpeg", "mpg", "msg", "nes", "numbers", "odp", "ods", "odt", "ogg", "ogv", "otf", "ova", "ovf", "pages", "parallels", "pcast", "pct", "pdb", "pdf", "pds", "pef", "php", "pkg", "pl", "plist", "png", "pptm", "prproj", "ps", "psd", "ptx", "py", "qcow", "qcow2", "qed", "qt", "r3d", "ra", "rar", "rm", "rmvb", "rtf", "rv", "rw2", "sh", "shtml", "sit", "sitx", "sketch", "spx", "sql", "srt", "svg", "swf", "tar", "tga", "tgz", "thmx", "tif", "tiff", "torrent", "ttf", "txt", "url", "vdi", "vhd", "vhdx", "vmdk", "vmem", "vob", "vswp", "vvfat", "wav", "wbmp", "webm", "webp", "wm", "wma", "wmv", "wpd", "wps", "xhtml", "xlsm", "xml", "xspf", "xvid", "yaml", "yml", "zip", "zipx"
Είναι επίσης δυνατή η διαμόρφωση μιας λίστας εικονικών μηχανών που δεν πρέπει να είναι κρυπτογραφημένες.
Κατά την εκτέλεση του κρυπτογραφητή, ένας παράγοντας απειλής πρέπει να καθορίσει τον αρχικό κατάλογο για την κρυπτογράφηση και έναν συγκεκριμένο κωδικό πρόσβασης συνδεδεμένο με τον κρυπτογράφηση.
Όταν εκτελεστεί, το ransomware θα καθορίσει εάν εκτελείται σε διακομιστή Linux, FreeBSD ή VMware ESXi.
Εάν εντοπίσει VMware ESXi, θα εκτελέσει τα εξής
esxcli
και
esxcfg-advcfg
εντολές, τις οποίες δεν έχουμε δει σε άλλους κρυπτογραφητές ESXi στο παρελθόν.
for I in $(esxcli storage filesystem list |grep 'VMFS-5' |awk '{print $1}'); do vmkfstools -c 10M -d eagerzeroedthick $I/eztDisk > /dev/null; vmkfstools -U $I/eztDisk > /dev/null; done
for I in $(esxcli storage filesystem list |grep 'VMFS-5' |awk '{print $1}'); do vmkfstools -c 10M -d eagerzeroedthick $I/eztDisk; vmkfstools -U $I/eztDisk; done
for I in $(esxcli storage filesystem list |grep 'VMFS-6' |awk '{print $1}'); do vmkfstools -c 10M -d eagerzeroedthick $I/eztDisk > /dev/null; vmkfstools -U $I/eztDisk > /dev/null; done
for I in $(esxcli storage filesystem list |grep 'VMFS-6' |awk '{print $1}'); do vmkfstools -c 10M -d eagerzeroedthick $I/eztDisk; vmkfstools -U $I/eztDisk; done
esxcfg-advcfg -s 32768 /BufferCache/MaxCapacity
esxcfg-advcfg -s 20000 /BufferCache/FlushInterval
Ειδικός VMware
Μελίσα Πάλμερ
είπε στο BleepingComputer ότι αυτές οι εντολές πιθανότατα αντιγράφηκαν από ενημερωτικά δελτία υποστήριξης VMware για την επίλυση α
γνωστό σφάλμα εξάντλησης σωρού μνήμης VMware
και
αύξηση της απόδοσης
κατά την εκτέλεση εντολών ESXi στον διακομιστή.
Προτού κρυπτογραφήσει τυχόν εντοπισμένες εικονικές μηχανές, το ransomware θα τερματίσει πρώτα όλα τα VM και θα διαγράψει τα στιγμιότυπά τους χρησιμοποιώντας τις ακόλουθες εντολές:
esxcli vm process list
vim-cmd vmsvc/getallvms
esxcli vm process kill -t force -w %llu
vim-cmd vmsvc/snapshot.removeall %llu > /dev/null 2>&1
Στη συνέχεια, όλα τα στοχευμένα αρχεία θα κρυπτογραφηθούν και θα προσαρτηθεί η διαμορφωμένη επέκταση στο όνομα του αρχείου.
Σε κάθε φάκελο, ένα σημείωμα λύτρων με όνομα [extension]Θα δημιουργηθεί το _RECOVER.txt που περιέχει συνδέσμους προς τον ιστότοπο διαπραγμάτευσης Tor της συμμορίας ransomware και τα διαπιστευτήρια σύνδεσης που απαιτούνται για την πρόσβαση στη σελίδα συνομιλίας του θύματος.
Σημείωμα λύτρων Qilin
Πηγή: BleepingComputer
Η BleepingComputer έχει δει απαιτήσεις για λύτρα που κυμαίνονται από 25.000 $ έως εκατομμύρια δολάρια.
Η λειτουργία Qilin ransomware
Η λειτουργία ransomware Qilin ξεκίνησε αρχικά ως «Ατζέντα» τον Αύγουστο του 2022. Ωστόσο, μέχρι τον Σεπτέμβριο, είχε μετονομαστεί με το όνομα Qilin, το οποίο συνεχίζει να λειτουργεί μέχρι σήμερα.
Όπως και άλλες λειτουργίες ransomware που στοχεύουν επιχειρήσεις, το Qilin θα παραβιάσει τα δίκτυα μιας εταιρείας και θα κλέψει δεδομένα καθώς αυτά εξαπλώνονται πλευρικά σε άλλα συστήματα.
Όταν ολοκληρωθεί η συλλογή δεδομένων και η απόκτηση διαπιστευτηρίων διαχειριστή διακομιστή, οι φορείς απειλών αναπτύσσουν το ransomware για να κρυπτογραφήσουν όλες τις συσκευές στο δίκτυο.
Τα κλεμμένα δεδομένα και τα κρυπτογραφημένα αρχεία χρησιμοποιούνται στη συνέχεια ως μόχλευση σε επιθέσεις διπλού εκβιασμού για να εξαναγκάσουν μια εταιρεία να πληρώσει μια απαίτηση λύτρων.
Από την έναρξή του, η επιχείρηση ransomware είχε μια σταθερή ροή θυμάτων, αλλά παρουσίασε αυξημένη δραστηριότητα προς τα τέλη του 2023.
Μια πρόσφατη επίθεση από την Qilin ήταν στον κολοσσό των ανταλλακτικών αυτοκινήτων Yanfeng.
VIA:
bleepingcomputer.com