HelloKitty Ransomware ataca servidores VMware ESXi utilizando una variante de Linux

A medida que las empresas recurren cada vez más a las máquinas virtuales para archivar y facilitar la gestión de recursos, las pandillas de rescate utilizan cada vez más varias tácticas para crear codificadores de Linux destinados a estos servidores.

VMware ESXi es una de las plataformas de máquinas virtuales empresariales más populares. En el último año, más y más pandillas de ransomware han lanzado codificadores de Linux dirigidos a la plataforma.

Aunque ESXi usa su propio kernel de cliente, comparte muchas de las mismas características que Linux, incluida la capacidad de ejecutar ejecutables de Linux ELF64.

El 16 de julio, los investigadores de seguridad de MalwareHunterTeam dieron a conocer varias versiones de Linux ELF64 de la compra de HelloKitty dirigidas a los servidores ESXi y las máquinas virtuales que se ejecutan en ellos.

Según los investigadores de seguridad, HelloKitty usa un codificador de Linux, pero este es el primer modelo que los investigadores han descubierto públicamente.

MalwareHunterTeam compartió estos ejemplos de ransomware. Podemos ver claramente cadenas que incluyen ESXi y ransomware que intentan apagar las máquinas virtuales en ejecución.

A partir de los mensajes de depuración, podemos ver que el ransomware usa la herramienta de administración de línea de comandos esxcli de ESXi para enumerar y apagar las máquinas virtuales que se ejecutan en el host.

El ransomware usa la herramienta de administración de línea de comandos esxcli de ESXi para enumerar y apagar las máquinas virtuales que se ejecutan en el host.

Los atacantes del servidor ESXi apagan las máquinas virtuales antes de cifrar los archivos para evitar el bloqueo de archivos y la corrupción de datos.

Al apagar una máquina virtual, el ransomware primero intentará apagarla usando un comando "suave":

esxcli vm process kill -t=soft -w=%d

Si todavía hay máquinas virtuales ejecutándose, intentará apagarlas inmediatamente usando el comando "duro":

esxcli vm process kill -t=hard -w=%d

Finalmente, si la máquina virtual aún se está ejecutando, usará el comando "forzar" para apagar todas las máquinas virtuales en ejecución.

esxcli vm process kill -t=force -w=%d

Una vez que se apaga la máquina virtual, el ransomware comenzará a cifrar los archivos .vmdk (disco duro virtual), .vmsd (información de instantáneas y metadatos) y .vmsn (que contienen el estado operativo de la máquina virtual).

Este método es muy eficaz porque permite a las pandillas de rescate cifrar varias máquinas virtuales con un solo comando.

El mes pasado, MalwareHunterTeam también presentó una versión para Linux del ransomware REvil que se dirige a los servidores ESXi y utiliza el comando esxcli durante el cifrado.

Otras pandillas de ransomware como Babuk, RansomExx / Defray, Mespinoza, GoGoogle y DarkSide también han creado codificadores de Linux destinados a máquinas virtuales, dijo BleepingComputer citado por el CTO de Emsisoft, Fabian Wozar. ESXi.

"La razón por la que la mayoría de los grupos de ransomware están implementando ataques de ransomware basados ​​en Linux es para apuntar a ESXi", dijo Wax.

HelloKity ha estado activo desde noviembre de 2020. Desde entonces, ha dejado de usar ataques agresivos en comparación con otros grupos de ransomware.

HelloKitty es mejor conocido por su ataque a CD Projekt Red para el cifrado de dispositivos y el robo de Cyberpunk 2077, The Witcher 3, Quint...

Luego afirman que alguien compró los archivos robados de CD Projekt Red.

El ransomware o sus variantes se utilizan con diferentes nombres, como DeathRansom y Fivehands.