Атаки вымогательского ПО Defray777 и Darkside основываются на обнаружении учетных данных для доступа к серверам vCenter.
Сразу две вымогательские программы получили новые функции, позволяющие им атаковать гипервизоры VMware ESXi и шифровать файлы на виртуальных машинах.
К счастью, атаки сами по себе не позволяют взломать ESXi (успешная атака на гипервизор первого типа означала бы компрометацию хоста), сообщают эксперты ИБ-компании CrowdStrike. Операторы вымогательского ПО, о котором идет речь, группировки CARBON SPIDER и SPRITE SPIDER, полагаются на обнаружение учетных данных для доступа к серверам vCenter, использующимся для управления ESXi и виртуальными машинами.
Киберпреступная группировка SPRITE SPIDER известна как минимум с июля 2020 года и стоит за вымогательским ПО Defray777 (другие названия Defray, Defray 2018, Target777, RansomX, RansomEXX). Получив доступ к учетным данным путем извлечения их из браузера или памяти хоста, злоумышленники записывают Linux-версию Defray777 в /tmp/, используя имя файла легитимного инструмента (например, svc-new).
После запуска вредонос перечисляет системную информацию и процессы на хосте ESXi с помощью команд uname, df и esxcli vm. Группировка также знает достаточно о VMware и ESXi, чтобы попытаться удалить VMware Fault Domain Manager – инструмент для автоматической перезагрузки отказавших виртуальных машин.
Вторая группировка, SPRITE SPIDER, активна с 2016 года и раньше специализировалась на атаках на PoS-терминалы. В августе 2020 года она разработала собственное вымогательское ПО Darkside и даже создала специальную версию для атак на ESXi. Эта версия шифрует некоторые форматы файлов, используемые ESXi.
«Если атаки вымогательского ПО на серверы ESXi будут успешными и впредь, вполне вероятно, что в среднесрочной перспективе больше злоумышленников начнут атаковать инфраструктуру виртуализации», - считают в CrowdStrike.
5778 К? Пф! У нас градус знаний зашкаливает!