¿Usuario de VMware? ¿Preocupado por el "ransomware ESXi"? ¡Revisa tus parches ahora!

¿Usuario de VMware? ¿Preocupado por el "ransomware ESXi"? ¡Revisa tus parches ahora!

Marca de tiempo: 7 de febrero de 2023 2:59 p.m.
Nodo de origen: 1945764
by Paul patito

Las noticias sobre ciberseguridad, al menos en Europa, están dominadas actualmente por historias sobre el "ransomware VMWare ESXi" que está dando vueltas, literalmente y (al menos en un sentido criptográfico) figurativamente.

CERT-FR, el equipo de respuesta a emergencias informáticas del gobierno francés, inició lo que rápidamente se convirtió en un mini-pánico al final de la semana pasada, con un boletín titulado simplemente: Campaña de explotación de una vulnerabilidad afectada por VMware ESXi (Ciberataque aprovechando una vulnerabilidad de VMWare ESXi).

Aunque el titular se enfoca directamente en el peligro de alto nivel, a saber, que cualquier vulnerabilidad explotable de forma remota generalmente brinda a los atacantes un camino hacia su red para hacer algo, o tal vez incluso cualquier cosa, que les guste...

…la primera línea del informe da la triste noticia de que el algo los ladrones están haciendo en este caso es lo que los franceses llaman ransomware.

Probablemente no necesites saber eso logiciel es la palabra francesa para "software" para adivinar que la palabra tallo ranço- entró tanto en francés moderno (rançon) e inglés (rescate) de la palabra francesa antigua rescate, y por lo tanto que la palabra se traduce directamente al inglés como ransomware.

En la Edad Media, un riesgo laboral para los monarcas en tiempos de guerra era ser capturados por el enemigo y retenidos por un tiempo. rescate, generalmente bajo términos punitivos que efectivamente resolvieron el conflicto a favor de los captores.

En estos días, por supuesto, son sus datos los que se "capturan", aunque, perversamente, los delincuentes no necesitan tomarse la molestia de llevárselos y mantenerlos en una prisión segura en su lado de la frontera mientras chantajearte.

Simplemente pueden cifrarlo "en reposo" y ofrecerle la clave de descifrado a cambio de su castigo. rescate.

Irónicamente, terminas actuando como tu propio carcelero, y los ladrones necesitan retener solo unos pocos bytes secretos (32 bytes, en este caso) para mantener tus datos encerrados en tu propio estado de TI durante el tiempo que quieran.

buenas y malas noticias

Aquí están las buenas noticias: la ráfaga actual de ataques parece ser obra de una pandilla boutique de ciberdelincuentes que confían en dos vulnerabilidades específicas de VMWare ESXi que fueron documentadas por VMware y parcheadas hace aproximadamente dos años.

En otras palabras, la mayoría de los administradores de sistemas esperarían haber estado por delante de estos atacantes desde principios de 2021 a más tardar, por lo que definitivamente no es una situación de día cero.

Aquí están las malas noticias: Si no ha aplicado los parches necesarios en el tiempo prolongado desde que salieron, no solo corre el riesgo de este ataque de ransomware específico, sino también de delitos cibernéticos de casi cualquier tipo: robo de datos, criptominería, registro de teclas, base de datos el envenenamiento, el malware de punto de venta y el envío de correo no deseado vienen inmediatamente a la mente.

Aquí hay más malas noticias: el ransomware utilizado en este ataque, al que verá que se hace referencia de diversas formas como ransomware ESXi y ransomware ESXiArgs, parece ser un par de archivos de malware de propósito general, uno es un script de shell y el otro un programa de Linux (también conocido como binario or ejecutable de archivo).

En otras palabras, aunque es absolutamente necesario parchear estos errores de VMWare de la vieja escuela si aún no lo ha hecho, no hay nada en este malware que lo bloquee de manera inextricable para atacar solo a través de vulnerabilidades de VMWare, o para atacar solo archivos de datos relacionados con VMWare.

De hecho, nos referiremos al ransomware por el nombre argumentos en este artículo, para evitar dar la impresión de que está causado específicamente por los sistemas y archivos VMWare ESXi o que solo puede usarse contra ellos.

Cómo funciona

Según CERT-FR. Las dos vulnerabilidades que debe tener en cuenta de inmediato son:

  • CVE-2021-21974 de VMSA-2021-0002. Vulnerabilidad de desbordamiento de almacenamiento dinámico en ESXi OpenSLP. Un actor malintencionado que resida en el mismo segmento de red que ESXi y que tenga acceso al puerto 427 puede desencadenar [un] problema de desbordamiento de pila en [el] servicio OpenSLP, lo que resulta en la ejecución remota de código.
  • CVE-2020-3992 de VMSA-2020-0023. Vulnerabilidad de ejecución remota de código en ESXi OpenSLP. Un actor malicioso que resida en la red de administración y tenga acceso al puerto 427 en una máquina ESXi puede activar un uso después de la liberación en el servicio OpenSLP, lo que resulta en la ejecución remota de código.

En ambos casos, el consejo oficial de VMWare fue parchear si era posible o, si necesitaba posponer el parcheo por un tiempo, deshabilitar el SLP afectado (protocolo de ubicación del servicio) Servicio.

VMWare tiene una página con una guía de larga data para solucionar Problemas de seguridad de SLP, incluido el código de secuencia de comandos para desactivar SLP temporalmente y volver a activarlo una vez que esté parcheado.

El daño en este ataque

En este argumentos ataque, la ojiva que aparentemente los delincuentes están desatando, una vez que tienen acceso a su ecosistema ESXi, incluye la secuencia de comandos a continuación.

Hemos elegido los críticos para mantener esta descripción corta:

  • Elimine las máquinas virtuales en ejecución. Los ladrones no hacen esto con gracia, sino simplemente enviando cada vmx procesar un SIGKILL (kill -9) para bloquear el programa lo antes posible. Suponemos que esta es una forma rápida y sucia de garantizar que todos los archivos VMWare que quieren codificar estén desbloqueados y, por lo tanto, puedan volver a abrirse en modo lectura/escritura.
  • Exporte una lista de volúmenes del sistema de archivos ESXi. Los ladrones usan el esxcli storage filesystem list comando para obtener una lista de volúmenes ESXi a seguir.
  • Encuentre archivos VMWare importantes para cada volumen. Los ladrones usan el find comando en cada volumen de su /vmfs/volumes/ directorio para localizar archivos de esta lista de extensiones: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram y .vmem.
  • Llame a una herramienta de codificación de archivos de propósito general para cada archivo encontrado. Un programa llamado encrypt, subido por los ladrones, se usa para codificar cada archivo individualmente en un proceso separado. Por lo tanto, los cifrados se realizan en paralelo, en segundo plano, en lugar de que el script espere a que cada archivo se codifique por turno.

Una vez que se han iniciado las tareas de cifrado en segundo plano, el script de malware cambia algunos archivos del sistema para asegurarse de que sabe qué hacer a continuación.

No tenemos nuestras propias copias de ninguna nota de rescate real que el argumentos los ladrones han usado, pero podemos decirle dónde buscarlos si no los ha visto usted mismo, porque el script:

  • reemplaza tu /etc/motd archivo con una nota de rescate. Su nombre motd es la abreviatura de mensaje del díay su versión original se mueve a /etc/motd1, por lo que podría usar la presencia de un archivo con ese nombre como un indicador crudo de compromiso (IoC).
  • Reemplaza cualquier index.html archivos en el /usr/lib/vmware árbol con una nota de rescate. Una vez más, se cambia el nombre de los archivos originales, esta vez a index1.html. archivos llamados index.html son las páginas de inicio de cualquier portal web de VMWare que pueda abrir en su navegador.

Por lo que hemos escuchado, los rescates exigidos están en Bitcoin, pero varían tanto en la cantidad exacta como en la identificación de la billetera en la que se pagarán, tal vez para evitar crear obvios patrones de pago en la cadena de bloques BTC.

Sin embargo, parece que el pago del chantaje generalmente se establece en aproximadamente 2 BTC, actualmente un poco menos de US $ 50,000.

MÁS INFORMACIÓN: PATRONES DE PAGO EN LA CADENA DE BLOQUEO

El encriptador en resumen

El proyecto encrypt El programa es, efectivamente, una herramienta de codificación independiente de un archivo a la vez.

Sin embargo, dado cómo funciona, no existe un propósito legítimo concebible para este archivo.

Presumiblemente, para ahorrar tiempo durante el cifrado, dado que las imágenes de la máquina virtual suelen tener muchos gigabytes, o incluso terabytes, de tamaño, el programa puede recibir parámetros que le indiquen que codifique algunos fragmentos del archivo, dejando el resto solo.

Hablando libremente, el argumentos el malware hace su trabajo sucio con una función llamada encrypt_simple() (de hecho, no es nada simple, porque encripta de una manera complicada que ningún programa de seguridad genuino jamás usaría), que es más o menos así.

Los valores de FILENAME, PEMFILE, M y N a continuación se puede especificar en tiempo de ejecución en la línea de comando.

Tenga en cuenta que el malware contiene su propia implementación del algoritmo de cifrado Sosemanuk, aunque se basa en OpenSSL para los números aleatorios que utiliza y para el procesamiento de clave pública RSA que hace:

  1. Generar PUBKEY, una clave pública RSA, leyendo en PEMFILE.
  2. Generar RNDKEY, una clave de cifrado simétrica aleatoria de 32 bytes.
  3. Ir al principio de FILENAME
  4. Leer en M megabytes de FILENAME.
  5. Codifique esos datos usando el cifrado de flujo Sosemanuk con RNDKEY.
  6. Sobrescribir esos mismos M megabytes en el archivo con los datos cifrados.
  7. Saltar hacia adelante N megabytes en el archivo.
  8. GOTO 4 si queda algún dato para codificar.
  9. Saltar al final de FILENAME.
  10. Use la encriptación de clave pública RSA para codificar RNDKEY, utilizando PUBKEY.
  11. Añada la clave de descifrado codificada a FILENAME.

En el archivo de script que vimos, donde los atacantes invocan el encrypt programa, parecen haber elegido M ser de 1 MByte, y N ser de 99 Mbytes, por lo que en realidad solo codifican el 1% de los archivos de más de 100 MBytes.

Esto significa que pueden infligir su daño rápidamente, pero casi con certeza dejan sus máquinas virtuales inutilizables y muy probablemente irrecuperables.

Sobrescribir el primer 1MByte generalmente hace que una imagen no se pueda iniciar, lo cual es bastante malo, y codificar el 1% del resto de la imagen, con el daño distribuido por todo el archivo, representa una gran cantidad de corrupción.

Ese grado de corrupción podría dejar algunos datos originales que podría extraer de las ruinas del archivo, pero probablemente no mucho, por lo que no recomendamos confiar en el hecho de que el 99% del archivo "todavía está bien" como cualquier tipo de precaución, porque cualquier dato que recupere de esta manera debe considerarse buena suerte y no una buena planificación.

Si los estafadores conservan la contrapartida de la clave privada de la clave pública en sus PEMFILE secreto, hay pocas posibilidades de que puedas descifrar RNDKEY, lo que significa que no puede recuperar las partes codificadas del archivo usted mismo.

Por lo tanto, la demanda de ransomware.

¿Qué hacer?

Muy simple:

  • Compruebe que tiene los parches necesarios. Incluso si "sabe" que los aplicó cuando salieron por primera vez, verifique nuevamente para asegurarse. A menudo, solo necesita dejar un agujero para dar a los atacantes una cabeza de puente para entrar.
  • Revise sus procesos de copia de seguridad. Asegúrese de tener una forma confiable y efectiva de recuperar los datos perdidos en un tiempo razonable si ocurre un desastre, ya sea por ransomware o no. No espere hasta después de un ataque de ransomware para descubrir que está atrapado en el dilema de pagar de todos modos porque no ha practicado la restauración y no puede hacerlo de manera suficientemente eficiente.
  • Si no está seguro o no tiene tiempo, pida ayuda. Empresas como Sophos proporcionan tanto XDR (detección y respuesta extendidas) y MDR (detección y respuesta administradas) que pueden ayudarlo a ir más allá de simplemente esperar a que aparezcan señales de problemas en su tablero. No es una evasión pedir ayuda a otra persona, especialmente si la alternativa es simplemente no tener tiempo para ponerse al día por su cuenta.

Sello de tiempo:

Mas de Seguridad desnuda