A medida que las empresas cambian de servidores individuales a máquinas virtuales para una mejor gestión de recursos, rendimiento y recuperación ante desastres, las pandillas de ransomware crean ransomware enfocados en esa plataforma. La operación Abyss Locker es la última en desarrollar un cifrador de Linux para apuntar a la plataforma de máquinas virtuales ESXi de VMware en ataques a la empresa.
Dado que VMware ESXi es una de las plataformas de máquinas virtuales más populares, casi todas las pandillas de ransomware han comenzado a lanzar ransomware de Linux para cifrar todos los servidores virtuales en un dispositivo.
Just business, nothing personal
Otras operaciones de ransomware que utilizan cifradores de ransomware de Linux, la mayoría dirigidas a VMware ESXi, incluyen Akira, Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, y Hive.
Abyss Locker es una operación de ransomware relativamente nueva que se cree que se lanzó en marzo de 2023, cuando comenzó a atacar a empresas. Al igual que otras operaciones de ransomware, los actores de amenazas de Abyss Locker violan las redes corporativas, roban datos para doble extorsión y cifran dispositivos en la red.
Los datos robados luego se utilizan como palanca al amenazar con filtrar archivos si no se paga un rescate. Para filtrar los archivos robados, los actores de amenazas crearon un sitio de fuga de datos TOR llamado ‘Abyss-data’ que actualmente enumera catorce víctimas.
Los actores de amenazas afirman haber robado entre 35 GB de datos de una empresa y hasta 700 GB en otra.
Orientación a servidores VMware ESXi
Esta semana, el investigador de seguridad MalwareHunterTeam encontró un cifrador ELF de Linux para la operación Abyss Locker y lo compartió con BleepingComputer para su análisis.
Después de mirar las cadenas en el ejecutable, está claro que el cifrador apunta específicamente a los servidores VMware ESXi. Como puede ver en los comandos a continuación, el cifrador utiliza la herramienta de administración VMware ESXi de línea de comandos esxcli para enumerar primero todas las máquinas virtuales disponibles y luego terminarlas.
esxcli vm process list
esxcli vm process kill -t=soft -w=%d
esxcli vm process kill -t=hard -w=%d
esxcli vm process kill -t=force -w=%d
Al apagar las máquinas virtuales, Abyss Locker utilizará el comando vm process kill y una de las opciones soft, hard, or forced .
La opción «soft» realiza un apagado correcto, la opción «hard» finaliza una máquina virtual de inmediato y la fuerza se usa como último recurso.
El cifrador finaliza todas las máquinas virtuales para permitir que los discos virtuales, las instantáneas y los metadatos asociados se cifren correctamente mediante el cifrado de todos los archivos con las siguientes extensiones: .vmdk (discos virtuales), .vmsd (metadatos) y .vmsn (instantáneas).
Además de apuntar a las máquinas virtuales, el ransomware también cifrará todos los demás archivos en el dispositivo y agregará la extensión .crypt a sus nombres de archivo, como se muestra a continuación.
Para cada archivo, el cifrador también creará un archivo con una extensión .README_TO_RESTORE, que actúa como la nota de rescate. Esta nota de rescate contiene información sobre lo que sucedió con los archivos y un enlace único al sitio de negociación TOR del actor de amenazas. Este sitio es básico, solo tiene un panel de chat que se puede usar para negociar con la banda de ransomware.
El experto en ransomware Michael Gillespie dijo que el cifrador Abyss Locker Linux se basa en Hello Kitty, y en su lugar usa cifrado ChaCha. Sin embargo, no se sabe si se trata de un cambio de marca de la operación HelloKitty o si otra operación de ransomware obtuvo acceso al código fuente del cifrador, como vimos con Vice Society.
Desafortunadamente, HelloKitty ha sido históricamente un ransomware seguro que impide la recuperación de archivos de forma gratuita.
Fuentes:
Vía:
https://blog.segu-info.com.ar/2023/07/abyss-locker-ransomware-orientado-esxi.html
