Поделиться
Новый троян для Linux атакует VMware ESXi и поголовно шифрует данные
Новый сэмпл известного вредоноса оказался одним из самых настраиваемых и продвинутых «инструментов» для блокировки доступа законных владельцев к их данным в виртуальных средах.
Qilin веников не вяжет
Новый перехваченный сэмпл шифровальщика, написанного группировкой Qilin, показал, что эти злоумышленники всерьез взялись за VMware ESXI. Новый шифровальный модуль Qilin под Linux - один из самых продвинутых и гибко настраиваемых из всех, какие до сих пор удавалось увидеть.
Поскольку крупные фирмы уже скоро почти поголовно будут использовать виртуальные среды для размещения своих серверов, шифровальщики, естественно, тоже демонстрируют повышенный интерес к ним.
К настоящему моменту почти все группировки, занимающиеся шифрованием данных и вымогательством за возвращение доступа к ним, обзавелись специализированными модулями под VMware ESXi. Многие используют старый код - утекшие исходники печально знаменитого шифровальщика Babuk. Однако Qilin используют собственные шифровочные модули.
В ноябре эксперт MalwareHunterTeam выявил шифровальщик под Linux ELF64 и передал его специалистам, сотрудничающим с изданием BleepingComputer для анализа.
Выяснилось, что этот модуль легко может быть использован и в среде Linux, и в среде FreeBSD, и VMware ESXi, но совершенно очевидно специализирован именно для осуществления операций с виртуальными машинами. Помимо шифрования их текущего состояния, вредонос убивает и записи предыдущих состояний, так чтобы возобновить их нормальную работу не представлялось возможным.
Богатство настроек
Шифровальщик Qilin содержит встроенный сетап, в котором прописано, какие файлы и папки подлежат шифрованию, а какие нет, и какие процессы вредонос должен остановить. К этому добавляется и указание на то, какое расширение должны будут иметь зашифрованные файлы.
К этому всему, однако, прилагаются аргументы командной строки, с помощью которых можно перенастраивать опции и метод работы шифровальщика на сервере. Список аргументов не очень большой, но настройки обеспечивает гибкие.
По умолчанию шифровальщик не трогает ничего, что обеспечивает работоспособность среды виртуализации (процессы kvm, qemu и xen игнорируются, загрузочные папки и файлы тоже).
А вот файлы с данными шифруются поголовно, и список файлов также очень велик - это почти любые данные, утратить доступ к которому пользователи не захотят ни в коем случае.
В материале BleepingComputer говорится, что можно настроить и список отдельных виртуальных машин на одном и том же супервайзере, которые не будут зашифрованы вовсе.
Если шифровальщик обнаруживает ESXi, то он запускает команды esxli и esxcfg-advcfg. За другими шифровальщиками ничего подобного прежде не замечалось.
Как говорят эксперты, эти команды, скорее всего, скопированы из бюллетеней безопасности самой компании VMware: с их помощью, в частности, устранялась известная ошибка исчерпания памяти и повышалась производительность.
Перед началом процедуры шифрования вредонос останавливает работу всех выявленных виртуальных машин и стирает их файлы предыдущих состояний (как раз с помощью esxcli).
Дальнейшее никаким новаторством не отличается: файлы шифруются и в каждой папке остается сообщение с требованием выкупа. Суммы выкупа очень серьезные - в диапазоне от $25 тыс. до миллионов долларов.
Стоит добавить, что злоумышленники еще и крадут данные и обещают их опубликовать, если жертвы не захотят договариваться о выкупе.
«Qilin - это Ransomware-as-a-Service-кампания (программа-вымогатель как услуга): операторы вредоноса сдают его в аренду тем, кто непосредственно производит атаки», - говорит эксперт по информационной безопасности компании SEQ Михаил Зайцев. По его словам, шифровочный модуль для Linux/ESXi - это один из главных их козырей, но в остальном хакеры изобретать велосипед не стали и действуют по уже многократно опробованному сценарию: фишинговые письма - проникновение в корпоративную сеть - вывод интересующих данных - подгрузка шифровальщика - требование денег. «Крупные суммы выкупа связаны с тем, что злоумышленники целятся именно в крупный бизнес, который в теории легко заставить раскошелиться. Учитывая, впрочем, что фишинг - это их основной инструмент первичного проникновения, именно антифишинговые меры и являются основным способом защиты», - считает Михаил Зайцев.
Qilin появился на свет в 2022 г. и изначально фигурировал под названием Agenda. За время функционирования злоумышленники произвели большое количество успешных атак; одной из последних жертв стала крупная китайская автофирма Yanfeng.
Короткая ссылка
