Attacchi ransomware ESXiArgs: Rischi e protezione dei dati

Tutorial

Di solito, gli attacchi ransomware colpiscono computer fisici e macchine virtuali che utilizzano Windows e meno frequentemente macOS e Linux. Purtroppo, i cybercriminali continuano a sviluppare nuove versioni di ransomware che possono infettare altri sistemi operativi tramite vulnerabilità appena scoperte. Un recente esempio è stato l’attacco ransomware ESXi che ha colpito gli ipervisori VMware sfruttando le vulnerabilità di ESXi, causando gravi interruzioni nell’operatività delle organizzazioni in tutto il mondo.

Questo post del blog spiega quanto siano pericolosi gli attacchi ransomware, come il ransomware può infettare un host ESXi e come proteggersi dai ransomware, incluso il ransomware ESXi Args.

L’inizio di una campagna ransomware ESXi

I primi casi di attacchi ransomware ESXi sono stati registrati nell’ottobre 2022 quando VMware ha terminato il supporto generale per ESXi 6.5 e 6.7. Un elevato numero di host ESXi sono stati infettati in Francia, Germania, Stati Uniti, Canada, Regno Unito e altri paesi. Nel febbraio 2023, c’erano più di 3.000 host ESXi infetti con dati crittografati e nessun mezzo per il ripristino. I nomi dei ransomware che hanno attaccato gli host ESXi sono ESXiArgs, Royal e Cl0p. Inoltre, sono comparse nuove famiglie di ransomware ESXi come RansomEXX, Lockbit, BlackBasta, Cheerscrypt, Hive, RedAlert/N13V e altri.

Gli host ESXi sono attraenti per gli attaccanti perché la virtualizzazione del server è diventata più popolare e molte organizzazioni utilizzano macchine virtuali per i loro ambienti di produzione. Di conseguenza, i creatori di ransomware si sono concentrati nell’avviare attacchi ransomware VMware ESXi con la speranza di ottenere enormi profitti. Infettare un host ESXi consente agli attaccanti di crittografare/distruggere i dati di più macchine virtuali presenti su quell’host. Questo approccio può essere più efficace rispetto all’infezione delle VM, che potrebbero eseguire sistemi operativi diversi. L’attacco ransomware ESXi Args è stato uno dei più grandi attacchi ransomware per server non Windows.

Quali versioni di ESXi sono vulnerabili agli attacchi ransomware ESXi?

Il ransomware ESXi sfrutta diverse vulnerabilità, tra cui CVE-2022-31699, CVE-2021-21995, CVE-2021-21974, CVE-2020-3992 e CVE-2019-5544.

Il ransomware ESXi Args utilizza CVE-2021-21974 per infettare un host ESXi. Si tratta di una vulnerabilità scoperta nel 2021 e può verificarsi su host ESXi ancora non aggiornati. Si tratta di una vulnerabilità di overflow dell’heap nel servizio OpenSLP eseguito su ESXi. Una patch per CVE-2021-21974 è stata pubblicata il 21 febbraio 2021.

Le seguenti versioni di ESXi sono vulnerabili a CVE-2021-21974:

  • ESXi 7.x prima di ESXi70U1c-17325551
  • ESXi 6.7.x prima di ESXi670-202102401-SG
  • ESXi 6.5.x prima di ESXi650-202102101-SG

Perché c’erano così tanti server non patchati e perché erano accessibili da Internet? Il patching richiede l’interruzione del server ESXi e, con un gran numero di host, alcuni amministratori potrebbero non avere le risorse o il tempo per patcharli tempestivamente. Inoltre, le vulnerabilità di ESXi non erano ampiamente sfruttate prima dell’attacco ransomware ESXi Args. Ciò ha creato l’illusione che i server ESXi non patchati non fossero una minaccia e i server venivano patchati lentamente.

I server ESXi in esecuzione nelle aziende di hosting sono stati infettati anche dal ransomware ESXi Args. I fornitori di hosting fornivano l’infrastruttura ai clienti e i clienti installavano gli ipervisor ESXi per eseguire macchine virtuali. Questi server ESXi erano esposti a Internet dai clienti, il che ha permesso agli attaccanti di accedervi. Gli aggressori volevano che la vittima pagasse circa $23.000 in bitcoin.

Come Funziona il Ransomware ESXi?

I criminali informatici trovano host ESXi vulnerabili, specialmente quelli esposti a Internet. Il metodo di compromissione è stato verificato per sfruttare una vulnerabilità di OpenSLP, che è probabilmente la CVE-2021-21974. La porta 427 (TCP/UDP) viene utilizzata per OpenSLP. I log indicano il coinvolgimento dell’utente dcui in questo processo di compromissione. Questa vulnerabilità ransomware ESXi consente agli attaccanti di sfruttare codice arbitrario da remoto.

Il processo di crittografia utilizza una chiave pubblica distribuita dal malware, situata in /tmp/public.pem. In particolare, questo processo di crittografia è mirato ai file della macchina virtuale, compresi i tipi di file come “.vmdk,” “.vmx,” “.vmxf,” “.vmsd,” “.vmsn,” “.vswp,” “.vmss,” “.nvram,” e file con estensione “.vmem”. Nota che il file “.vmdk” è un file di descrizione del disco virtuale e “-flat.vmdk” è un file di disco virtuale contenente dati VM. Il ransomware Args ESXi crea un file “.args” per ogni file crittografato con metadati (probabilmente, i creatori del ransomware presumono che i file “.args” potrebbero essere necessari per la decrittografia).

Di seguito è riportata la sequenza in dettaglio:

  1. Quando viene violato un server, i seguenti file vengono posizionati nella directory /tmp:
    • encrypt rappresenta l’eseguibile crittografico in formato ELF.
    • encrypt.sh funge da logica operativa per l’attacco. Si tratta di uno script shell che esegue varie azioni prima di eseguire il crittografatore, come illustrato di seguito.
    • public.pem è una chiave pubblica RSA impiegata per crittografare la chiave responsabile della crittografia dei file.
    • motd è una nota di riscatto testuale duplicata in /etc/motd, garantendo la sua visualizzazione al login. Il file originale sul server sarà preservato come /etc/motd1.
    • index.html è una versione HTML della nota di riscatto progettata per sostituire la homepage di VMware ESXi. Il file iniziale del server dovrebbe essere eseguito il backup come “index1.html” nella stessa directory.
  2. Il criptatore viene avviato attraverso uno script shell, che lo richiama con un array di parametri da riga di comando. Questi parametri includono il file della chiave pubblica RSA, il file di destinazione per la criptazione, le sezioni dei dati da mantenere inalterate, la dimensione del blocco di criptazione e la dimensione totale del file.

    Utilizzo: encrypt <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]

    Dove:

    • enc_step è il numero di MB da saltare durante la criptazione dei file
    • enc_size è il numero di MB nel blocco di criptazione
    • file_size è la dimensione del file in byte (per file sparsi)
  3. L’avvio di questo criptatore avviene tramite lo script shell encrypt.sh, che funge da logica sottostante per l’attacco. All’avvio, lo script procede con le seguenti azioni, spiegate brevemente di seguito.
  4. Lo script ransomware ESXi esegue un comando per modificare i file di configurazione delle macchine virtuali ESXi (.vmx) sostituendo le occorrenze di “.vmdk” e “.vswp” rispettivamente con “1.vmdk” e “1.vswp“.
  5. Successivamente, lo script ransomware termina forzatamente tutte le macchine virtuali attive al momento emettendo un comando “kill -9” per interrompere i processi contenenti la parola “vmx“.
  6. Il ransomware tenta di spegnere le macchine virtuali terminando il processo VMX per rilasciare i file bloccati e modificarli. Tuttavia, questa funzione non si comporta in modo coerente come previsto, risultando in alcuni file rimanenti bloccati. Dopo la modifica dei file VM, le VM diventano inutilizzabili.
  7. Lo script procede a recuperare un elenco di volumi ESXi con il comando:

    esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F' ' '{print $2}

    Con questo comando, il ransomware analizza questi volumi per i file con determinate estensioni di file.

  8. Per ogni file scoperto, lo script genera un file corrispondente [nome_file].args nella stessa directory. Questo file .args contiene parametri calcolati, inclusi un passo (comunemente ‘1’) e la dimensione del file. Ad esempio, se il file è ” VM01.vmx “, viene creato un file associato ” VM01.vmx.args “. Il malware genera un “argsfile” per memorizzare gli argomenti passati al binario crittografato, che include informazioni come il numero di megabyte da saltare, la dimensione del blocco di crittografia e la dimensione del file.
  9. Lo script utilizza quindi l’eseguibile ” encrypt ” per crittografare i file in base ai parametri calcolati.
  10. Dopo la crittografia, lo script sostituisce il file ” index.html ” di ESXi e il file ” motd ” del server con le note di riscatto menzionate in precedenza.

    Non ci sono prove di trasferimento di dati esterni (esfiltrazione di dati). In certi casi, la crittografia dei file potrebbe avere successo solo parzialmente, consentendo alla vittima di potenzialmente recuperare alcuni dati.

    Quando l’infezione e la modifica/crittografia dei dati sono completate con successo, una nota di ransomware come questa viene visualizzata su una pagina HTML:

    Allarme di sicurezza! Abbiamo hackerato con successo la tua azienda.

    Invia denaro entro 3 giorni, altrimenti esporremo alcuni dati e alzeremo il prezzo.”

  11. Successivamente, lo script esegue compiti di pulizia, inclusa la cancellazione dei log e la rimozione di un backdoor Python situato in /store/packages/vmtools.py. Elimina anche linee specifiche da alcuni file:
    • /bin/hostd-probe.sh
    • /var/spool/cron/crontabs/root
    • /etc/rc.local.d/local.sh
    • /etc/vmware/rhttpproxy/endpoints.conf

    Viene emesso un avviso critico, esortando gli amministratori a verificare se il file “vmtools.py” esiste sull’host ESXi. Se trovato, si consiglia la rimozione immediata.

  12. Infine, lo script esegue “/sbin/auto-backup.sh” per aggiornare la configurazione salvata nel file “/bootbank/state.tgz” e attiva SSH.

Inoltre, è emerso che questa vulnerabilità, insieme ad altre vulnerabilità in ESXi, è attivamente sfruttata da gruppi ransomware oltre a ESXiArgs.

NOTA: Il comportamento del ransomware VMware ESXi può cambiare con le versioni aggiornate del ransomware e i nuovi rilasci del ransomware.

Come recuperare i dati dopo il ransomware ESXi Args

Non ci sono bug nel meccanismo crittografico che possano consentire di decrittare i file criptati. Tuttavia, l’Agenzia per la sicurezza cibernetica e dell’infrastruttura degli Stati Uniti (CISA) ha creato uno script che può aiutare a recuperare le VM. La cosa buona è che i file delle VM, compreso il descrittore del disco virtuale (.vmdk), sono criptati, ma il file -flat.vmdk (dove sono memorizzati i dati della VM) non lo è. Questo rende possibile il recupero delle VM.

La CISA ha introdotto uno script di ripristino progettato per aiutare le organizzazioni colpite dal ransomware ESXi Args. Questo ransomware mira specificamente ai server ESXi, crittografando i loro file di configurazione e rendendo potenzialmente inoperativi le macchine virtuali (VM). Anche se lo strumento è stato sviluppato in collaborazione con VMware, non è direttamente supportato da VMware. Se i clienti riscontrano problemi nell’utilizzo di questo strumento, sono incoraggiati a segnalare i problemi su GitHub a questo indirizzo: https://github.com/cisagov/ESXiArgs-Recover/issues.

La CISA si impegna a affrontare e risolvere tempestivamente le preoccupazioni. Per ulteriori dettagli sull’utilizzo dello script, si prega di fare riferimento a questo link.È anche possibile scaricare un documento PDF con le istruzioni.

Puoi anche scaricare un documento PDF con le istruzioni.

Se hai segni che un host ESXi sia stato infettato con ransomware ESXi, considera le seguenti misure:

  • Disconnetti l’host ESXi infetto dalla rete.
  • Non pagare il riscatto. Pagare il riscatto premia i criminali informatici e li incentiva a creare più ransomware per ottenere più denaro. Se paghi il riscatto, non c’è la garanzia che i file danneggiati dal ransomware VMware ESXi verranno recuperati.
  • Rapporta l’attacco di ransomware. La segnalazione di un ransomware è importante perché consente una risposta rapida, il rispetto della legge, la protezione dei dati, la fiducia, la mitigazione delle minacce e la difesa collettiva contro gli attacchi informatici. Segnalare un attacco di ransomware è una parte fondamentale della gestione degli incidenti di sicurezza informatica. Non solo aiuta le organizzazioni individuali a recuperare dagli attacchi, ma contribuisce anche alla sicurezza e alla resilienza dell’ecosistema digitale.
  • Controlla se sono disponibili strumenti di recupero o decrittazione per la versione corrente di ransomware.
  • Se non ci sono strumenti di decrittazione, recuperare i dati da un backup (è necessario avere un backup creato prima di un attacco di ransomware per utilizzare questo metodo). A volte può essere più efficace recuperare le VM da un backup. Si consideri un nuovo installazione di ESXi e copiare le VM recuperate su quel nuovo host ESXi per assicurarsi che non ci siano pezzi di infezione da ransomware sul host dove sono posizionate le VM recuperate.

Come Proteggere ESXi dai Ransomware

Seguire le raccomandazioni seguenti per proteggere ESXi dai ransomware:

  • Aggiornare i vostri host ESXi che hanno vulnerabilità come CVE-2021-21974, CVE-2022-31699, CVE-2021-21995, CVE-2020-3992, e CVE-2019-5544. Se la versione di ESXi non è più supportata, si prenda in considerazione l’aggiornamento ad una versione principale che sia supportata. Se non si può aggiornare ESXi, disabilitare il servizio OpenSLP (Service Location Protocol) su ESXi. Disabilitare un servizio che ha una vulnerabilità per la versione di ESXi interessata aiuta anche.
  • Installare patch di sicurezza (aggiornamenti) sull’host ESXi regolarmente per proteggersi dalle minacce più recenti.
  • Non esporre i host ESXi a Internet. Se il processo lavorativo richiede che i host ESXi siano accessibili da Internet da parte dei lavoratori e dei partner, configurare un server VPN e un firewall. Configurare il firewall per consentire l’accesso solo da indirizzi IP attendibili. Connettersi alla rete tramite VPN per accedere ai host ESXi è sicuro in questo caso.
  • Disabilitare l’accesso SSH se non è necessario o impostare i timeout.
  • Disabilitare SMB v1.0 e altre versioni obsolete di protocolli, soprattutto se non vengono utilizzati.
  • Utilizzare la segmentazione di rete per le reti, compresa la rete di gestione ESXi.
  • Utilizzare password forti con almeno 8 caratteri, compresi minuscoli, maiuscoli, cifre e caratteri speciali.
  • Installare e configurare monitoraggio dell’infrastruttura per monitorare il traffico di rete e le richieste dei server. Il monitoraggio consente di rilevare attività sospette o dannose in tempo.
  • Educare gli utenti sulle protezioni dalle ransomware e assicurarsi che gli utenti sappiano cosa fare se sospettano che sia accaduto un attacco di ransomware o un tentativo di attacco.
  • Configurare protezione antimalware per posta elettronica perché l’invio di link o file malevoli tramite posta elettronica è un metodo popolare per infettare i computer con ransomware. Disabilitare i link ipertestuali attivi nelle email.
  • Installare antivirus sui computer degli utenti e sui server. Aggiornare regolarmente le banche dati antivirus per il software antivirus.
  • Eseguire backup regolari delle macchine virtuali e utilizzare la strategia di backup 3-2-1. Non dimenticare di disporre di un backup immutabile o di un backup a connessione indipendente per garantire che questo backup non sia influenzato in caso di attacco di ransomware. Disporre di un backup ESXi e di un backup vCenter può aiutare a risparmiare tempo quando si tratta di recuperare dati e carichi di lavoro.
  • Preparare un piano di risposta agli incidenti e informare tutti su cosa fare in caso di attacco di ransomware ESXi.
  • Creare un piano di disaster recovery per garantire che sia possibile recuperare dati e ripristinare carichi di lavoro in diverse situazioni. Il test dei backup e il test di disaster recovery sono importanti.

Conclusione

L’attacco ransomware a ESXi può essere devastante poiché è possibile perdere molte VM anche se un host ESXi viene infettato. Il backup dei dati è la strategia più efficace per evitare la perdita di dati in caso di attacchi ransomware. Segui le raccomandazioni su come proteggere ESXi dal ransomware che sono state trattate sopra in questo post sul blog. Utilizza NAKIVO Backup & Replication per eseguire il backup delle VM residenti sugli host VMware ESXi su repository immutabili. In questo modo puoi utilizzare questi backup resistenti al ransomware per recuperare rapidamente intere VM o dati delle applicazioni.

Source:
https://www.nakivo.com/blog/vmware-esxi-ransomware/