HelloKitty na ESXi

Grupa hakerów stojąca za atakiem na CD Projekt Red jest w posiadaniu wersji Linuksa, umożliwiającego atak na platformę maszyn wirtualnych ESXi firmy VMware.

Przedsiębiorstwa coraz chętniej korzystają z infrastruktury wirtualnej, w cełu łatwiejszego zarządzania zasobami, skalowania czy tworzenia kopii zapasowych. Sytuację tą, próbują wykorzystać hakerzy używający oprogramowania ranswomware, poprzez ataki na serwery Linuks szyfrowanie ich i wymuszanie okupu.

VMware ESXi to w chiwili obecnej jeden z najpopularniejszych hiperwizeorów do zarządzania procesów wirtualizacji. Mimo iż ESXi nie jest systemem operacyjnym (używa własnego jądra), ma wiele podobnych cech do Linuxa, w tym możliwość uruchamiania plików wykonalnych Linux ELF64. W ciągu ostatniego roku pojawiła się rażąca liczba gangów ransomware, używające programy szyfrujące Linuksa, których celem jest włąsnie ta platforma.

Jak podaje zespół MalwareHunterTeam, natknęli się oni na wiele wersji Linux ELF64 ransomware HelloKitty atakującego serwery ESXi i działające na nich maszyny wirtualne. Wiadomo, że HelloKitty wykorzystuje program szyfrujący Linuksa, jednak niewykluczone jest, że hakerzy do szyfrowania używają również innych narzędzi.

MalwareHunterTeam udostępnił próbki oprogramowania ransomware z którego wyraznie widać ciągi odwołujące się do ESXi i próby zamknięcia przez oprogramowanie ransomware działających maszyn wirtualnych.

First try kill  VM:%ld  ID:%d   %s
esxcli vm process kill -t=soft -w=%d
Check kill      VM:%ld  ID:%d
esxcli vm process kill -t=hard -w=%d
Unable to find
Killed          VM:%ld  ID:%d
still running VM:%ld    ID:%d try force
esxcli vm process kill -t=force -w=%d
Check   VM:%ld  ID:     %d manual !!!
.README_TO_RESTORE
Find ESXi:%s
esxcli vm process list
World ID:
Process ID:
Running VM:%ld  ID:%d   %s
Total VM run on host:   %ld

Z komunikatów debugowania widać, że ransomware używa narzędzia zarządzania wiersza poleceń ESXi esxcli, aby wyświetlić listę uruchomionych maszyn wirtualnych na serwerze, a następnie je zamknąć. Hakerzy atakujące serwery ESXi wyłączają maszyny wirtualne przed szyfrowaniem plików, aby zapobiec ich zablokowaniu i uszkodzeniu danych.

Podczas zamykania demon’ów EXSi, oprogramowanie ransomware najpierw spróbuje tzw. łagodnego zamknięcia za pomocą polecenia „soft”:

esxcli vm process kill -t=soft -w=%d

Jeżeli powyższe działanie nie zamknie wszystkich maszyn i część z nich nadal działa, malware, spróbuje wyłączyć maszyny wirtualne za pomocą polecenia „hard” („ubicia twardego”):

esxcli vm process kill -t=hard -w=%d

W przypadku gdy funkcja kill z parametrem hard nie przyniesię oczekiwanych rezultatów, złośliwe oprogramowanie użyje polecenia „force”, aby wymusić zamknięcie wszystkich działających maszyn wirtualnych.

esxcli vm process kill -t=force -w=%d

Po wyłączeniu maszyn wirtualnych ransomware rozpocznie szyfrowanie plików .vmdk (wirtualny dysk twardy), .vmsd (informacje o metadanych) oraz .vmsn (zawierające informacje o stanie aktywnym VM’ki).

Opisana powyżej metoda jest bardzo wydajną operacyjnie, ponieważ umożliwia szyfrowanie wielu maszyn wirtualnych za pomocą jednego polecenia.

Pare słów o HelloKitty

HelloKity działa od listopada 2020 r., Od tego czasu cyberprzestępcy nie byli szczególnie aktywnie w porównaniu z innymi operacjami ransomware obsługiwanymi przez człowieka.

Ich najbardziej znanym działaniem był atak skierowany przeciwko CD Projekt Red, gdzie cyberprzestępcy szyfrując część serwerów, twierdzili że są w posiadaniu kodu źródłowego Cyberpunka 2077, Wiedźmina 3, Gwinta i innych. Co ciekawe cyberprzestępcy pochwalili się, że w przypadku kodu Cyberpunka, ktoś zakupił skradzione pliki.

HelloKitty lub jego warianty było używane pod różnymi nazwami, takimi jak DeathRansom i Fivehands.