ESXiArgs-Ransomware-Angriffe: Risiken und Datensicherung

Tutorials

In der Regel befallen Ransomware-Angriffe physische Computer und virtuelle Maschinen, die unter Windows laufen, und seltener unter macOS und Linux. Leider entwickeln Cyberkriminelle weiterhin neue Versionen von Ransomware, die über neu entdeckte Schwachstellen andere Betriebssysteme infizieren können. Ein aktuelles Beispiel war der ESXi-Ransomware-Angriff, der VMware-Hypervisoren traf, indem er ESXi-Schwachstellen ausnutzte, was zu erheblichen Ausfällen in Organisationen auf der ganzen Welt führte.

Dieser Blogbeitrag erklärt, wie gefährlich Ransomware-Angriffe sind, wie Ransomware einen ESXi-Host infizieren kann und wie man sich vor Ransomware schützen kann, einschließlich vor ESXi Args Ransomware.

Der Beginn einer ESXi-Ransomware-Kampagne

Die ersten Fälle von ESXi-Ransomware-Angriffen wurden im Oktober 2022 registriert, als VMware die allgemeine Unterstützung für ESXi 6.5 und 6.7 beendete. Ein hoher Anteil von ESXi-Hosts wurde in Frankreich, Deutschland, den Vereinigten Staaten, Kanada, dem Vereinigten Königreich und anderen Ländern infiziert. Im Februar 2023 gab es mehr als 3.000 infizierte ESXi-Hosts mit verschlüsselten Daten und keiner Möglichkeit zur Wiederherstellung. Die Namen der Ransomware, die ESXi-Hosts angegriffen haben, sind ESXiArgs, Royal und Cl0p. Darüber hinaus erschienen neue ESXi-Ransomware-Familien wie RansomEXX, Lockbit, BlackBasta, Cheerscrypt, Hive, RedAlert/N13V und andere.

ESXi-Hosts sind attraktiv für Angreifer, weil die Servervirtualisierung immer beliebter geworden ist und viele Organisationen virtuelle Maschinen für ihre Produktionsumgebungen nutzen. Als Ergebnis konzentrieren sich Erpressungstrojaner-Ersteller darauf, VMware ESXi-Erpressungstrojaner-Angriffe zu starten, in der Hoffnung, enorme Gewinne zu erzielen. Die Infizierung eines ESXi-Hosts ermöglicht es Angreifern, Daten von mehreren virtuellen Maschinen auf diesem Host zu verschlüsseln/zerstören. Dieser Ansatz kann effektiver sein als die Infizierung von VMs, die möglicherweise verschiedene Betriebssysteme ausführen. Der ESXi Args-Erpressungstrojaner-Angriff war einer der größten Erpressungstrojaner-Angriffe auf Nicht-Windows-Server.

Welche ESXi-Versionen sind anfällig für ESXi-Erpressungstrojaner?

ESXi-Erpressungstrojaner nutzen verschiedene Schwachstellen, darunter CVE-2022-31699, CVE-2021-21995, CVE-2021-21974, CVE-2020-3992 und CVE-2019-5544.

Der ESXi Args-Erpressungstrojaner nutzt CVE-2021-21974, um einen ESXi-Host zu infizieren. Dies ist eine Schwachstelle, die 2021 entdeckt wurde und auf ESXi-Hosts auftreten kann, die noch nicht gepatcht/aktualisiert sind. Es handelt sich um eine Heap-Overflow-Schwachstelle im OpenSLP-Dienst, der auf ESXi ausgeführt wird. Ein Patch für CVE-2021-21974 wurde am 21. Februar 2021 veröffentlicht.

Die folgenden ESXi-Versionen sind anfällig für CVE-2021-21974:

  • ESXi 7.x vor ESXi70U1c-17325551
  • ESXi 6.7.x vor ESXi670-202102401-SG
  • ESXi 6.5.x vor ESXi650-202102101-SG

Warum gab es so viele nicht gepatchte Server und warum waren sie aus dem Internet erreichbar? Das Patchen erfordert Ausfallzeiten des ESXi-Servers, und bei einer großen Anzahl von Hosts haben einige Administratoren möglicherweise nicht die Ressourcen oder Zeit, um sie rechtzeitig zu patchen. Darüber hinaus wurden ESXi-Schwachstellen vor dem ESXi Args-Ransomware-Angriff nicht weit verbreitet ausgenutzt. Dies erzeugte die Illusion, dass ungepatchte ESXi-Server keine Bedrohung darstellten, und die Server wurden langsam gepatcht.

ESXi-Server, die in Hosting-Unternehmen betrieben werden, wurden ebenfalls von der ESXi Args-Ransomware infiziert. Hosting-Anbieter stellten die Infrastruktur für Kunden bereit, und Kunden installierten ESXi-Hypervisoren, um virtuelle Maschinen auszuführen. Diese ESXi-Server waren durch Kunden dem Internet ausgesetzt, was es Angreifern ermöglichte, auf sie zuzugreifen. Die Angreifer wollten, dass das Opfer etwa 23.000 US-Dollar in Bitcoins zahlt.

Wie funktioniert ESXi-Ransomware?

Cyberkriminelle finden verwundbare ESXi-Hosts, insbesondere solche Hosts, die dem Internet ausgesetzt sind. Die Kompromittierungsmethode wurde verifiziert, um eine OpenSLP-Schwachstelle auszunutzen, die möglicherweise CVE-2021-21974 ist. Port 427 (TCP/UDP) wird für OpenSLP verwendet. Die Protokolle deuten auf die Beteiligung des dcui Benutzers an diesem Kompromittierungsprozess hin. Diese ESXi-Ransomware-Schwachstelle ermöglicht es Angreifern, beliebigen Code remote auszunutzen.

Der Verschlüsselungsprozess verwendet einen öffentlichen Schlüssel, der von der Malware bereitgestellt wird und sich unter /tmp/public.pem befindet. Speziell zielt dieser Verschlüsselungsprozess auf virtuelle Maschinendateien ab, einschließlich Dateitypen wie „.vmdk“, „.vmx“, „.vmxf“, „.vmsd“, „.vmsn“, „.vswp“, „.vmss“, „.nvram“ und Dateien mit der Erweiterung „.vmem“. Beachten Sie, dass die Datei „.vmdk“ eine virtuelle Festplattenbeschreibungsdatei ist und „-flat.vmdk“ eine virtuelle Festplattendatei ist, die VM-Daten enthält. Der ESXi Args-Ransomware erstellt für jede verschlüsselte Datei eine „.args„-Datei mit Metadaten (vermutlich gehen die Ransomware-Ersteller davon aus, dass „.args„-Dateien für die Entschlüsselung benötigt werden können).

Nachfolgend finden Sie die detaillierte Sequenz:

  1. Wenn ein Server kompromittiert wird, werden die folgenden Dateien im Verzeichnis /tmp abgelegt:
    • encrypt stellt den ausführbaren Verschlüsseler im ELF-Format dar.
    • encrypt.sh dient als operative Logik für den Angriff. Dies ist ein Shell-Skript, das verschiedene Aktionen vor der Ausführung des Verschlüsselers durchführt, wie unten beschrieben.
    • public.pem ist ein öffentlicher RSA-Schlüssel, der zur Verschlüsselung des für die Dateiverschlüsselung verantwortlichen Schlüssels verwendet wird.
    • motd ist eine textbasierte Lösegeldnotiz, die in /etc/motd dupliziert wird, um deren Anzeige beim Login sicherzustellen. Die ursprüngliche Datei auf dem Server wird als /etc/motd1 erhalten bleiben.
    • index.html ist eine HTML-Version der Lösegeldnotiz, die die VMware ESXi-Startseite ersetzen soll. Die ursprüngliche Serverdatei sollte als „index1.html“ im selben Verzeichnis gesichert werden.
  2. Der Verschlüsseler wird durch ein Shell-Skript initiiert, das ihn mit einem Array von Befehlszeilenparametern aufruft. Diese Parameter umfassen die Datei des öffentlichen RSA-Schlüssels, die Zieldatei für die Verschlüsselung, Abschnitte von Daten, die unverändert bleiben sollen, die Verschlüsselungsblockgröße und die Gesamtdateigröße.

    Verwendung: verschlüsseln <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]

    Wo:

    • enc_step ist die Anzahl von MB, um die beim Verschlüsseln von Dateien übersprungen wird
    • enc_size ist die Anzahl von MB im Verschlüsselungsblock
    • file_size ist die Dateigröße in Bytes (für Sparse-Dateien)
  3. Die Initiierung dieses Verschlüsselers erfolgt über das encrypt.sh Shell-Skript, das als zugrunde liegende Logik für den Angriff dient. Nach der Initiierung führt das Skript die folgenden Aktionen aus, die nachstehend kurz erläutert werden.
  4. Das ESXi-Ransomware-Skript führt einen Befehl aus, um die Konfigurationsdateien virtueller ESXi-Maschinen (.vmx) zu ändern, indem Vorkommen von „.vmdk“ und „.vswp“ durch „1.vmdk“ bzw. „1.vswp“ ersetzt werden.
  5. Anschließend beendet das Ransomware-Skript zwangsweise alle derzeit aktiven virtuellen Maschinen, indem es einen „kill -9“ Befehl ausgibt, um Prozesse mit dem Wort „vmx“ zu beenden.
  6. Die Ransomware versucht, virtuelle Maschinen herunterzufahren, indem sie den VMX-Prozess beendet, um die gesperrten Dateien freizugeben und zu ändern. Diese Funktion führt jedoch nicht konsistent wie erwartet aus, wodurch einige Dateien gesperrt bleiben. Nach der Änderung der VM-Dateien werden die VMs unbrauchbar.
  7. Das Skript ruft eine Liste der ESXi-Volumes mit dem Befehl ab:

    esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F' ' '{print $2}

    Mit diesem Befehl durchsucht die Ransomware diese Volumes nach Dateien mit bestimmten Dateierweiterungen.

  8. Für jede gefundene Datei generiert das Skript eine entsprechende [Dateiname].args Datei im selben Verzeichnis. Diese .args Datei enthält berechnete Parameter, einschließlich eines Schritts (üblicherweise ‚1‘) und der Dateigröße. Zum Beispiel, wenn die Datei „VM01.vmx“ ist, wird eine zugehörige „VM01.vmx.args“ Datei erstellt. Die Malware generiert eine „argsfile“, um Argumente zu speichern, die dem verschlüsselten Binärcode übergeben werden, einschließlich Informationen wie die Anzahl der Megabyte zum Überspringen, die Größe des Verschlüsselungsblocks und die Dateigröße.
  9. Das Skript verwendet dann die „encrypt“ ausführbare Datei, um die Dateien basierend auf den berechneten Parametern zu verschlüsseln.
  10. Nach der Verschlüsselung ersetzt das Skript die ESXi „index.html“ Datei und die Server „motd“ Datei durch die zuvor beschriebenen Lösegeldnotizen.

    Es gibt keine Hinweise darauf, dass Daten extern übertragen wurden (Datenexfiltration). In bestimmten Fällen kann die Verschlüsselung von Dateien nur teilweise erfolgreich sein, was dem Opfer ermöglicht, möglicherweise einige der Daten wiederherzustellen.

    Wenn die Infektion und die Datenmodifikation/Verschlüsselung erfolgreich abgeschlossen wurden, wurde eine Lösegeldnotiz wie diese auf einer HTML-Seite angezeigt:

    Sicherheitswarnung! Wir haben Ihr Unternehmen erfolgreich gehackt.

    Senden Sie innerhalb von 3 Tagen Geld, sonst werden wir einige Daten veröffentlichen und den Preis erhöhen..”

  11. Anschließend führt das Skript Aufräumarbeiten durch, einschließlich Protokolllöschung und Entfernen eines Python-Backdoors am Speicherort /store/packages/vmtools.py. Es entfernt zudem bestimmte Zeilen aus bestimmten Dateien:
    • /bin/hostd-probe.sh
    • /var/spool/cron/crontabs/root
    • /etc/rc.local.d/local.sh
    • /etc/vmware/rhttpproxy/endpoints.conf

    Es wird eine dringende Warnung ausgegeben, in der Administratoren aufgefordert werden, zu überprüfen, ob die Datei „vmtools.py“ auf dem ESXi-Host vorhanden ist. Wenn ja, wird um sofortige Entfernung gebeten.

  12. Abschließend führt das Skript „/sbin/auto-backup.sh“ aus, um die Konfiguration in der Datei „/bootbank/state.tgz“ zu aktualisieren und SSH zu aktivieren.

Zudem wurde entdeckt, dass diese und andere ESXi-Schwachstellen nicht nur von der Ransomware-Gruppe ESXiArgs, sondern auch von anderen Ransomware-Gruppen aktiv ausgenutzt werden.“

HINWEIS: Das Verhalten von VMware ESXi Ransomware kann sich mit aktualisierten Versionen der Ransomware und neuen Veröffentlichungen ändern.

Wie man Daten nach ESXi Args Ransomware wiederherstellt

Es gibt keine Fehler im Kryptographie-Mechanismus, die es Ihnen ermöglichen könnten, die verschlüsselten Dateien zu entschlüsseln. Allerdings hat die US-Cybersicherheits- und Infrastrukturbehörde (CISA) ein Skript erstellt, das bei der Wiederherstellung von VMs helfen kann. Das Gute ist, dass VM-Dateien, einschließlich des virtuellen Festplattenbeschreibers (.vmdk), verschlüsselt sind, aber die -flat.vmdk-Datei (wo die VM-Daten gespeichert sind) nicht. Dies ermöglicht eine Wiederherstellung der VM.

CISA hat ein Wiederherstellungsskript eingeführt, das Organisationen unterstützen soll, die von der ESXi Args Ransomware betroffen sind. Diese Ransomware zielt speziell auf ESXi-Server ab, verschlüsselt deren Konfigurationsdateien und macht virtuelle Maschinen (VMs) möglicherweise unbrauchbar. Obwohl das Tool in Zusammenarbeit mit VMware entwickelt wurde, wird es von VMware nicht direkt unterstützt. Wenn Kunden beim Einsatz dieses Tools auf Probleme stoßen, werden sie ermutigt, Probleme auf GitHub unter folgender Adresse zu melden: https://github.com/cisagov/ESXiArgs-Recover/issues.

CISA ist bestrebt, Bedenken schnell anzusprechen und zu lösen. Für weitere Details zur Verwendung des Skripts verweisen wir auf diesen Link.Sie können auch ein PDF-Dokument herunterladen mit Anweisungen.

Sie können auch einen PDF-Dokument herunterladen mit Anweisungen.

Wenn Sie Anzeichen dafür haben, dass ein ESXi-Host mit ESXi-Ransomware infiziert wurde, sollten Sie die folgenden Maßnahmen in Betracht ziehen:

  • Trennen Sie den infizierten ESXi-Host vom Netzwerk.
  • Zahlen Sie nicht die Lösegeldforderung. Die Zahlung des Lösegelds belohnt Cyberkriminelle und veranlasst sie, mehr Ransomware zu erstellen, um mehr Geld zu erhalten. Wenn Sie das Lösegeld bezahlen, ist nicht garantiert, dass die mit VMware ESXi-Ransomware korrumpierten Dateien wiederhergestellt werden.
  • Melden Sie den Ransomware-Angriff. Die Meldung von Ransomware ist wichtig, da sie eine schnelle Reaktion, rechtliche Compliance, Datenschutz, Vertrauen, Bedrohungsbewältigung und kollektiven Verteidigung gegen Cyberangriffe ermöglicht. Die Meldung eines Ransomware-Angriffs ist ein grundlegender Bestandteil der Management von Cybersecurity-Vorfällen. Es hilft nicht nur einzelnen Organisationen bei der Wiederherstellung von Angriffen, sondern trägt auch zur Gesamtsicherheit und Resilienz des digitalen Ökosystems bei.
  • Überprüfen Sie, ob es Wiederherstellungs- oder Entschlüsselungswerkzeuge für die aktuelle Version der Ransomware gibt.
  • Wenn es keine Entschlüsselungswerkzeuge gibt, Daten aus einer Sicherung wiederherstellen (Sie müssen eine Sicherung vor einem Ransomware-Angriff erstellt haben, um diese Methode zu verwenden). Manchmal kann es effektiver sein, VMs aus einer Sicherung wiederherzustellen. Erwägen Sie eine frische Installation von ESXi und kopieren Sie die wiederhergestellten VMs auf diesen frischen ESXi-Host, um sicherzustellen, dass auf dem Host, auf dem die wiederhergestellten VMs platziert werden, keine Teile einer Ransomware-Infektion vorhanden sind.

Wie man ESXi vor Ransomware schützt

Folgen Sie den Empfehlungen unten, um ESXi vor Ransomware zu schützen:

  • Patchen Sie Ihre ESXi-Hosts, die Schwachstellen wie CVE-2021-21974, CVE-2022-31699, CVE-2021-21995, CVE-2020-3992 und CVE-2019-5544 haben. Wenn Ihre ESXi-Version nicht mehr unterstützt wird, erwägen Sie ein Upgrade auf eine Hauptversion, die unterstützt wird. Wenn Sie ESXi nicht aktualisieren können, deaktivieren Sie den OpenSLP (Service Location Protocol) auf ESXi. Das Deaktivieren eines Dienstes, der für die betroffene ESXi-Version eine Schwachstelle aufweist, hilft ebenfalls.
  • Installieren Sie Sicherheitsupdates (Aktualisierungen) regelmäßig auf dem ESXi-Host, um sich gegen die neuesten Bedrohungen zu schützen.
  • Lassen Sie ESXi-Hosts nicht dem Internet aussetzen. Wenn der Arbeitsprozess es erfordert, dass ESXi-Hosts von Arbeitern und Partnern über das Internet zugänglich sind, richten Sie einen VPN-Server und eine Firewall ein. Konfigurieren Sie die Firewall so, dass sie nur von vertrauenswürdigen IP-Adressen zugänglich ist. Das Herstellen einer Verbindung zum Netzwerk über eine VPN, um auf ESXi-Hosts zuzugreifen, ist in diesem Fall sicher.
  • Deaktivieren Sie SSH-Zugriff, wenn dieser nicht benötigt wird, oder legen Sie Timeouts fest.
  • Deaktivieren Sie SMB v1.0 und andere ältere Protokollversionen, insbesondere wenn sie nicht verwendet werden.
  • Verwenden Sie Netzwerksegmentierung für Netzwerke, einschließlich des ESXi-Verwaltungsnetzwerks.
  • Verwenden Sie starke Passwörter mit mindestens 8 Zeichen, einschließlich Klein- und Großbuchstaben, Ziffern und Sonderzeichen.
  • Installieren und konfigurieren Sie Infrastrukturüberwachung, um Netzwerkverkehr und Serverlasten zu überwachen. Überwachung ermöglicht es Ihnen, rechtzeitig verdächtige oder bösartige Aktivitäten zu erkennen.
  • Bilden Sie Benutzer über Ransomware-Schutz ab und stellen Sie sicher, dass Benutzer wissen, was sie tun sollen, wenn sie vermuten, dass ein Ransomware-Angriff oder ein Angriffversuch stattgefunden hat.
  • Konfigurieren Sie Anti-Malware-E-Mail-Schutz, da das Versenden bösartiger Links oder Dateien per E-Mail eine beliebte Methode ist, um Computer mit Ransomware zu infizieren. Deaktivieren Sie aktive Hyperlinks in E-Mail-Nachrichten.
  • Installieren Sie Antivirensoftware auf den Computern der Benutzer und auf Servern. Aktualisieren Sie regelmäßig die Virensignaturdatenbanken für die Antivirensoftware.
  • Sichern Sie Ihre virtuellen Maschinen regelmäßig und verwenden Sie die 3-2-1 Sicherungsstrategie. Vergessen Sie nicht, eine unveränderliche Sicherung oder eine luftgekühlte Sicherung zu haben, um sicherzustellen, dass diese Sicherung im Falle eines Ransomware-Angriffs nicht betroffen ist. Die Bereitstellung einer ESXi-Sicherung und einer vCenter-Sicherung kann dabei helfen, Zeit zu sparen, wenn es darum geht, Daten und Workloads wiederherzustellen.
  • Erstellen Sie einen Inzidenzreaktionsplan und lassen Sie alle wissen, was im Falle eines ESXi-Ransomware-Angriffs zu tun ist.
  • Entwickeln Sie einen Notfallwiederherstellungsplan, um sicherzustellen, dass Sie Daten wiederherstellen und Workloads in verschiedenen Szenarien wiederherstellen können. Sicherungstests und Notfallwiederherstellungstests sind wichtig.

Schlussfolgerung

ESXi-Ransomware kann verheerend sein, da Sie viele VMs verlieren können, auch wenn nur ein ESXi-Host infiziert ist. Die Datensicherung ist die effektivste Strategie, um Datenverlust bei Ransomware-Angriffen zu vermeiden. Befolgen Sie die Empfehlungen zur Absicherung von ESXi vor Ransomware, die in diesem Blogbeitrag behandelt wurden. Verwenden Sie NAKIVO Backup & Replication, um VMs, die auf VMware ESXi-Hosts gehostet sind, in unveränderliche Repositories zu sichern. Auf diese Weise können Sie diese ransomware-resistenten Backups zur schnellen Wiederherstellung vollständiger VMs oder Anwendungsdaten verwenden.

Source:
https://www.nakivo.com/blog/vmware-esxi-ransomware/