Операторы вымогательского ПО нацелились на гипервизоры VMware ESXi

Пн 1 Март 2021 09:23

Сразу две вымогательские программы получили новые функции, позволяющие им атаковать гипервизоры VMware ESXi и шифровать файлы на виртуальных машинах.

К счастью, атаки сами по себе не позволяют взломать ESXi (успешная атака на гипервизор первого типа означала бы компрометацию хоста), сообщают эксперты ИБ-компании CrowdStrike. Операторы вымогательского ПО, о котором идет речь, группировки CARBON SPIDER и SPRITE SPIDER, полагаются на обнаружение учетных данных для доступа к серверам vCenter, использующимся для управления ESXi и виртуальными машинами.

Киберпреступная группировка SPRITE SPIDER известна как минимум с июля 2020 года и стоит за вымогательским ПО Defray777 (другие названия Defray, Defray 2018, Target777, RansomX, RansomEXX). Получив доступ к учетным данным путем извлечения их из браузера или памяти хоста, злоумышленники записывают Linux-версию Defray777 в /tmp/, используя имя файла легитимного инструмента (например, svc-new).

После запуска вредонос перечисляет системную информацию и процессы на хосте ESXi с помощью команд uname, df и esxcli vm. Группировка также знает достаточно о VMware и ESXi, чтобы попытаться удалить VMware Fault Domain Manager – инструмент для автоматической перезагрузки отказавших виртуальных машин.

Вторая группировка, SPRITE SPIDER, активна с 2016 года и раньше специализировалась на атаках на PoS-терминалы. В августе 2020 года она разработала собственное вымогательское ПО Darkside и даже создала специальную версию для атак на ESXi. Эта версия шифрует некоторые форматы файлов, используемые ESXi.

«Если атаки вымогательского ПО на серверы ESXi будут успешными и впредь, вполне вероятно, что в среднесрочной перспективе больше злоумышленников начнут атаковать инфраструктуру виртуализации», - считают в CrowdStrike.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 133 дня 10 часов 20 минут 40 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.