ESXiArgs Ransomware-aanvallen: Risico’s en Gegevensbescherming

Handleidingen

Gewoonlijk vallen ransomware-aanvallen fysieke computers en virtuele machines aan die op Windows draaien en minder vaak op macOS en Linux. Helaas blijven cybercriminelen nieuwe versies van ransomware ontwikkelen die andere besturingssystemen kunnen infecteren via nieuw ontdekte kwetsbaarheden. Een recent voorbeeld was de ESXi-ransomwareaanval die VMware hypervisors trof door ESXi-kwetsbaarheden te misbruiken, wat leidde tot ernstige downtime bij organisaties over de hele wereld.

Deze blogpost legt uit hoe gevaarlijk ransomware-aanvallen zijn, hoe ransomware een ESXi-host kan infecteren, en hoe u zich kunt beschermen tegen ransomware, ook tegen ESXi Args-ransomware.

De Start van een ESXi Ransomware Campagne

De eerste gevallen van ESXi-ransomwareaanvallen werden geregistreerd in oktober 2022 toen VMware de algemene ondersteuning voor ESXi 6.5 en 6.7 beëindigde. Een groot aantal ESXi-hosts werd geïnfecteerd in Frankrijk, Duitsland, de Verenigde Staten, Canada, het Verenigd Koninkrijk en andere landen. In februari 2023 waren er meer dan 3.000 geïnfecteerde ESXi-hosts met versleutelde gegevens en geen middelen voor herstel. De namen van ransomware die ESXi-hosts aanvielen zijn ESXiArgs, Royal en Cl0p. Bovendien verschenen nieuwe ESXi-ransomwarefamilies zoals RansomEXX, Lockbit, BlackBasta, Cheerscrypt, Hive, RedAlert/N13V, en anderen.

ESXi-hosts zijn aantrekkelijk voor aanvallers omdat servervirtualisatie populairder is geworden, en veel organisaties virtuele machines gebruiken voor hun productieomgevingen. Als gevolg daarvan hebben ransomware-makers zich gericht op het initiëren van VMware ESXi-ransomwareaanvallen in de hoop enorme winsten te maken. Het infecteren van één ESXi-host stelt aanvallers in staat om gegevens van meerdere virtuele machines die op die host staan te versleutelen/vernietigen. Deze aanpak kan effectiever zijn dan het infecteren van VM’s, die mogelijk verschillende besturingssystemen draaien. De ESXi Args-ransomware-aanval was een van de grootste ransomware-aanvallen voor niet-Windows-servers.

Welke ESXi-versies zijn kwetsbaar voor ESXi-ransomware?

ESXi-ransomware maakt gebruik van verschillende kwetsbaarheden, waaronder CVE-2022-31699, CVE-2021-21995, CVE-2021-21974, CVE-2020-3992 en CVE-2019-5544.

ESXi Args-ransomware gebruikt CVE-2021-21974 om een ESXi-host te infecteren. Dit is een kwetsbaarheid die in 2021 is ontdekt en kan optreden op ESXi-hosts die nog niet zijn gepatcht/niet zijn bijgewerkt. Dit is een kwetsbaarheid voor heap overflow in de OpenSLP-service die op ESXi wordt uitgevoerd. Een patch voor CVE-2021-21974 is gepubliceerd op 21 februari 2021.

De volgende ESXi-versies zijn kwetsbaar voor CVE-2021-21974:

  • ESXi 7.x vóór ESXi70U1c-17325551
  • ESXi 6.7.x vóór ESXi670-202102401-SG
  • ESXi 6.5.x vóór ESXi650-202102101-SG

Waarom waren er zoveel niet-gepatchte servers en waarom waren ze toegankelijk vanaf het internet? Het patchen vereist downtime van de ESXi-server, en met een groot aantal hosts hebben sommige beheerders mogelijk niet de middelen of tijd om ze op tijd te patchen. Bovendien werden ESXi-kwetsbaarheden niet wijdverspreid misbruikt vóór de ESXi Args-ransomwareaanval. Dit creëerde de illusie dat niet-gepatchte ESXi-servers geen bedreiging vormden, en servers werden langzaam gepatcht.

ESXi-servers die draaien bij hostingproviders werden ook geïnfecteerd door ESXi Args-ransomware. Hostingproviders leverden de infrastructuur voor klanten, en klanten installeerden ESXi-hypervisors om virtuele machines uit te voeren. Deze ESXi-servers waren blootgesteld aan het internet door klanten, wat aanvallers in staat stelde om toegang te krijgen tot hen. De aanvallers wilden dat het slachtoffer ongeveer $23.000 aan bitcoins betaalde.

Hoe werkt ESXi Ransomware?

Cybercriminelen vinden kwetsbare ESXi-hosts, vooral die hosts die blootgesteld zijn aan het internet. De compromismethode is geverifieerd om een OpenSLP-kwetsbaarheid uit te buiten, mogelijk CVE-2021-21974. Poort 427 (TCP/UDP) wordt gebruikt voor OpenSLP. De logs geven aan dat de dcui gebruiker betrokken is bij dit compromisproces. Deze ESXi-ransomware-kwetsbaarheid stelt aanvallers in staat om op afstand willekeurige code uit te buiten.

Het encryptieproces maakt gebruik van een openbare sleutel ingezet door de malware, gelegen op /tmp/public.pem. Specifiek is dit encryptieproces gericht op virtuele machinebestanden, inclusief bestandstypen zoals “.vmdk,” “.vmx,” “.vmxf,” “.vmsd,” “.vmsn,” “.vswp,” “.vmss,” “.nvram,” en bestanden met de extensie “.vmem”. Let op dat het “.vmdk” bestand een virtueel schijf descriptor bestand is en “-flat.vmdk” een virtueel schijfbestand bevat met VM-gegevens. De ESXi Args ransomware creëert een “.args” bestand voor elk versleuteld bestand met metadata (waarschijnlijk veronderstellen de makers van ransomware dat “.args” bestanden nodig zijn voor de-encryptie).

Hieronder volgt de gedetailleerde sequentie:

  1. Wanneer een server wordt gehackt, worden de volgende bestanden geplaatst in de /tmp directory:
    • encrypt vertegenwoordigt de uitvoerbare encryptor in ELF-formaat.
    • encrypt.sh dient als de operationele logica voor de aanval. Dit is een shell-script dat verschillende acties uitvoert voordat de encryptor wordt uitgevoerd, zoals hieronder beschreven.
    • public.pem is een openbare RSA-sleutel die wordt gebruikt voor het versleutelen van de sleutel die verantwoordelijk is voor bestandsversleuteling.
    • motd is een tekstuele ransomnota die wordt gedupliceerd naar /etc/motd, met als doel ervoor te zorgen dat deze wordt weergegeven bij het inloggen. Het originele bestand op de server zal worden behouden als /etc/motd1.
    • index.html is een HTML-versie van de ransomnota die is ontworpen om de startpagina van VMware ESXi te vervangen. Het oorspronkelijke serverbestand moet worden geback-upt als “index1.html” binnen dezelfde directory.
  2. De versleutelaar wordt gestart via een shell-script, dat het aanroept met een reeks commandoregelparameters. Deze parameters omvatten het openbare RSA-sleutelbestand, het doelbestand voor versleuteling, delen van gegevens die ongewijzigd moeten blijven, de grootte van het versleutelingsblok en de algehele bestandsgrootte.

    Gebruik: encrypt <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]

    Waar:

    • enc_step is het aantal MB om over te slaan tijdens het versleutelen van bestanden
    • enc_size is het aantal MB in het versleutelingsblok
    • file_size is de bestandsgrootte in bytes (voor spaarzame bestanden)
  3. De initiëring van deze versleutelaar vindt plaats via het encrypt.sh shell-script, dat dient als de onderliggende logica voor de aanval. Bij initiëring gaat het script verder met de volgende acties, kort hieronder uitgelegd.
  4. Het ESXi-ransomwarescript voert een opdracht uit om de configuratiebestanden van ESXi virtuele machines (.vmx) te wijzigen door voorkomens van “.vmdk” en “.vswp” te vervangen door respectievelijk “1.vmdk” en “1.vswp“.
  5. Vervolgens beëindigt het ransomwarescript alle momenteel actieve virtuele machines met geweld door een “kill -9” opdracht uit te voeren om processen te stoppen die het woord “vmx” bevatten.
  6. De ransomware probeert virtuele machines af te sluiten door het VMX-proces te beëindigen om de vergrendelde bestanden vrij te geven en te wijzigen. Deze functie werkt echter niet consequent zoals verwacht, waardoor sommige bestanden vergrendeld blijven. Na de wijziging van VM-bestanden zijn de VM’s onbruikbaar.
  7. Het script gaat verder met het ophalen van een lijst van ESXi-volumes met de opdracht:

    esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F' ' '{print $2}

    Met deze opdracht scant ransomware deze volumes op bestanden met specifieke bestandsextensies.

  8. Voor elk ontdekt bestand genereert het script een overeenkomstig [bestandsnaam].args bestand in dezelfde map. Dit .args bestand bevat berekende parameters, waaronder een stap (meestal ‘1’) en de bestandsgrootte. Als bijvoorbeeld het bestand ” VM01.vmx ” is, wordt er een bijbehorend ” VM01.vmx.args ” bestand aangemaakt. De malware genereert een “argsbestand” om argumenten op te slaan die aan het versleutelde binair zijn doorgegeven, waaronder informatie zoals het aantal megabytes om over te slaan, de grootte van het versleutelingsblok, en de bestandsgrootte.
  9. Vervolgens gebruikt het script de ” encrypt ” executable om de bestanden te versleutelen op basis van de berekende parameters.
  10. Na de versleuteling vervangt het script het ESXi ” index.html ” bestand en het server-” motd ” bestand door de eerder genoemde ransom notities, zoals eerder beschreven.

    Er is geen bewijs van gegevensoverdracht naar buiten toe (gegevensexfiltratie). In bepaalde gevallen kan de versleuteling van bestanden slechts gedeeltelijk slagen, waardoor het slachtoffer mogelijk een deel van de gegevens kan herstellen.

    Wanneer de infectie en het succesvol voltooien van het wijzigen/versleutelen van gegevens plaatsvonden, werd een ransomware-notitie zoals deze weergegeven op een HTML-pagina:

    Beveiligingswaarschuwing! We hebben uw bedrijf succesvol gehackt.

    Stuur geld binnen 3 dagen, anders zullen we enkele gegevens openbaar maken en de prijs verhogen.

  11. Vervolgens voert het script opruimtaken uit, waaronder het verwijderen van logboeken en het verwijderen van een Python-backdoor die zich bevindt op /store/packages/vmtools.py. Het verwijdert ook specifieke regels uit bepaalde bestanden:
    • /bin/hostd-probe.sh
    • /var/spool/cron/crontabs/root
    • /etc/rc.local.d/local.sh
    • /etc/vmware/rhttpproxy/endpoints.conf

    Er wordt een belangrijke opmerking uitgegeven waarin beheerders wordt geadviseerd te controleren of het bestand “vmtools.py” bestaat op de ESXi-host. Als dit het geval is, wordt onmiddellijke verwijdering geadviseerd.

  12. Ten slotte voert het script “/sbin/auto-backup.sh” uit om de configuratie bij te werken die is opgeslagen in het bestand “/bootbank/state.tgz” en activeert SSH.

Ook is gebleken dat deze kwetsbaarheid, samen met andere kwetsbaarheden in ESXi, actief wordt misbruikt door ransomwaregroepen naast ESXiArgs.

OPMERKING: Het gedrag van VMware ESXi ransomware kan veranderen met bijgewerkte versies van ransomware en nieuwe ransomware releases.

Hoe gegevens herstellen na ESXi Args Ransomware

Er zijn geen bugs in het cryptografie mechanisme die het mogelijk maken om de versleutelde bestanden te decoderen. Echter, de US Cybersecurity and Infrastructure Security Agency (CISA) heeft een script gemaakt dat kan helpen bij het herstellen van VM’s. Het goede nieuws is dat VM-bestanden, inclusief de virtuele schijf beschrijver (.vmdk), versleuteld zijn, maar het -flat.vmdk bestand (waar VM-gegevens zijn opgeslagen) niet. Dit maakt VM-herstel mogelijk.

CISA heeft een herstelscript geïntroduceerd dat bedoeld is om organisaties te helpen die getroffen zijn door de ESXi Args ransomware. Deze ransomware richt zich specifiek op ESXi-servers, waarbij de configuratiebestanden worden versleuteld en mogelijk virtuele machines (VM’s) onbruikbaar worden gemaakt. Hoewel de tool in samenwerking met VMware is ontwikkeld, wordt deze niet direct ondersteund door VMware. Als klanten problemen ondervinden bij het gebruik van deze tool, worden ze aangemoedigd om problemen te melden op GitHub op dit adres: https://github.com/cisagov/ESXiArgs-Recover/issues.

CISA is toegewijd aan het snel aanpakken en oplossen van problemen. Voor meer details over het gebruik van het script, raadpleeg deze link.U kunt ook een PDF-document downloaden met instructies.

U kunt ook een PDF-document downloaden met instructies.

Als u aanwijzingen heeft dat een ESXi-host is geïnfecteerd met ESXi-ransomware, overweeg dan de volgende maatregelen:

  • Verwijder de geïnfecteerde ESXi-host uit het netwerk.
  • Betaal de losprijs niet. Losgeld betalen beloont cybercriminelen en stimuleert ze om meer ransomware te maken om meer geld te krijgen. Als u de losprijs betaalt, is er geen garantie dat de bestanden die zijn aangetast door VMware ESXi-ransomware, hersteld zullen worden.
  • Meld de ransomware-aanval. Het melden van ransomware is belangrijk omdat het een snelle reactie mogelijk maakt, wettelijke naleving, gegevensbescherming, vertrouwen, bedreigingsmitigatie en collectieve verdediging tegen cyberaanvallen mogelijk maakt. Het melden van een ransomware-aanval is een fundamenteel onderdeel van cybersecurity-incidentbeheer. Het draagt niet alleen bij aan herstel van aanvallen door individuele organisaties, maar draagt ook bij aan de algehele veiligheid en weerbaarheid van het digitale ecosysteem.
  • Controleer of er herstel- of decoderingstools beschikbaar zijn voor de huidige versie van ransomware.
  • Als er geen decrypteringsgereedschappen zijn, herstel gegevens van een back-up (je moet een back-up hebben gemaakt vóór een ransomware-aanval om deze methode te gebruiken). Soms kan het effectiever zijn om VMs van een back-up te herstellen. Overweeg een verse installatie van ESXi en kopieer de herstelde VMs naar die nieuwe ESXi-host om ervoor te zorgen dat er geen stukjes ransomware-infectie op de host zijn waar de herstelde VMs worden geplaatst.

Hoe te beschermen ESXi tegen ransomware

Volg de aanbevelingen hieronder om ESXi te beschermen tegen ransomware:

  • Pas je ESXi-hosts aan die kwetsbaarheden hebben zoals CVE-2021-21974, CVE-2022-31699, CVE-2021-21995, CVE-2020-3992 en CVE-2019-5544. Als je ESXi-versie niet meer ondersteund wordt, overweeg dan om te upgraden naar een hoofdversie die wel ondersteund wordt. Als je ESXi niet kunt bijwerken, schakel OpenSLP (Service Location Protocol) op ESXi uit. Het uitschakelen van een dienst met een kwetsbaarheid voor de getroffen ESXi-versie helpt ook.
  • Installeer beveiligingspatches (updates) op de ESXi-host regelmatig om te beschermen tegen de nieuwste bedreigingen.
  • Doe niet blootstellen van ESXi hosts aan het internet. Als het werkproces vereist dat ESXi hosts toegankelijk zijn vanaf het internet voor werknemers en partners, configureer dan een VPN-server en firewall. Configureer de firewall om toegang alleen toe te staan vanaf vertrouwde IP-adressen. Het verbinden met het netwerk via VPN om toegang te krijgen tot ESXi hosts is in dit geval veilig.
  • Schakel SSH-toegang uit als deze niet nodig is of stel time-outs in.
  • Schakel SMB v1.0 en andere oude protocollen uit, vooral als ze niet worden gebruikt.
  • Gebruik netwerksegmentatie voor netwerken, inclusief het ESXi-beheernetwerk.
  • Gebruik sterke wachtwoorden met ten minste 8 tekens, inclusief kleine letters, hoofdletters, cijfers en speciale tekens.
  • Installeer en configureer infrastructuurmonitoring om netwerkverkeer en serverbelastingen te controleren. Monitoring stelt je in staat om verdachte of schadelijke activiteiten op tijd op te sporen.
  • Informeer gebruikers over ransomwarebescherming en zorg ervoor dat gebruikers weten wat ze moeten doen als ze vermoeden dat er een ransomware-aanval of poging tot aanval is geweest.
  • Configureer anti-malware-e-mailbescherming omdat het sturen van schadelijke links of bestanden via e-mail een populaire methode is om computers te infecteren met ransomware. Schakel actieve hyperlinks in e-mailberichten uit.
  • Installeer antivirussoftware op de computers en servers van gebruikers. Werk regelmatig de antivirusdatabases bij voor de antivirussoftware.
  • Back-up je virtuele machines regelmatig en gebruik de 3-2-1 back-up strategie. Vergeet niet om een onveranderlijke back-up of luchtgapsback-up te hebben om ervoor te zorgen dat deze back-up niet wordt beïnvloed in het geval van een ransomware-aanval. Het hebben van een ESXi back-up en vCenter back-up kan helpen om tijd te besparen wanneer het gaat om het herstellen van gegevens en workloads.
  • Bereid een incident response plan voor en laat iedereen weten wat te doen in het geval van een ESXi ransomware-aanval.
  • Creëer een rampenherstelplan om ervoor te zorgen dat je gegevens kunt herstellen en workloads kunt herstellen in verschillende scenario’s. Back-uptesten en rampenhersteltesten zijn belangrijk.

Conclusie

ESXi ransomware kan verwoestend zijn omdat je veel VM’s kunt verliezen, zelfs als één ESXi-host geïnfecteerd raakt. Gegevensback-up is de meest effectieve strategie om gegevensverlies te voorkomen in geval van ransomware-aanvallen. Volg de aanbevelingen over hoe ESXi te beschermen tegen ransomware die hierboven in deze blogpost zijn behandeld. Gebruik NAKIVO Backup & Replication om VM’s die op VMware ESXi-hosts zijn gevestigd naar onveranderlijke repositories te back-uppen. Op deze manier kunt u deze ransomware-bestendige back-ups gebruiken voor snelle herstel van volledige VM’s of toepassingsgegevens.

Source:
https://www.nakivo.com/blog/vmware-esxi-ransomware/