RansomHub fidye yazılımı işlemi, kurumsal saldırılarda VMware ESXI ortamlarını şifrelemek için özel olarak tasarlanmış bir Linux şifrelemesi kullanıyor.
Ransomhub, 18 ülkede 45'ten fazla kurban iddia etmiş olan Şubat 2024'te başlatılan, Şubat 2024'te başlatılan bir fidye yazılımı (RAAS) operasyonudur.
Bir Windows ve Linux Ransomhub şifrelemesinin varlığı Mayıs ayı başından beri doğrulandı. Kaydedilen Future Now, tehdit grubunun cephaneliğinde ilk kez Nisan 2024'te gördüğü özel bir ESXI varyantına sahip olduğunu bildiriyor.
RansomHub'ın Go'da yazılan Windows ve Linux sürümlerinden farklı olarak, ESXI sürümü muhtemelen şu anda yok olan Şövalye Fidye Yazılımından türetilen bir C ++ programıdır.
İlginç bir şekilde, kaydedilen gelecek, ESXI varyantında savunucuların sonsuz bir döngüye göndermek ve şifrelemeden kaçmak için yararlanabilecekleri basit bir hata buldu.
İşletme, CPU, bellek ve depolama kaynaklarının daha iyi yönetimine izin verdikleri için sunucularını barındırmak için sanal makinelerin kullanımını benimsemiştir.
Bu artan evlat edinme nedeniyle, hemen hemen her kurumsal hedefleme fidye yazılımı çetesi, bu sunucuları hedeflemek için özel VMware ESXI şifrelemeleri yarattı.
RansomHub, ESXI şifrelemeleri, yürütme gecikmesi ayarlamak için çeşitli komut satırı seçeneklerini destekleyerek, hangi VM'lerin şifrelemeden hariç tutulması gerektiğini, hangi dizin yollarının hedef yollarını ve daha fazlasını belirterek bir istisna değildir.
Ayrıca, 'VIM-CMD VMSVC/GetAllvms' ve 'VIM-CMD VMSVC/Snapshot.removeall' ve VMS'yi kapatmak için 'ESXCLI VM Process Kill' gibi ESXI'ye özgü komutlar ve seçenekler içerir.
Şifreleme ayrıca syslog'u ve diğer kritik hizmetleri engellemek için devre dışı bırakır ve tespit ve analizden kaçınmak için yürütüldükten sonra kendini silecek şekilde yapılandırılabilir.
Şifreleme şeması, kamu ve özel anahtarlar oluşturmak için Curve25519 ile ChaCha20'yi kullanır ve '.vmdk' '.vmx,' '.vmsn,' gibi ESXI ile ilgili dosyaları daha hızlı performans için sadece kısmen (aralıklı şifreleme) kullanır.
Özellikle, her 11MB'lık şifreleme bloklarını tekrarlayarak 1MB'den büyük olan ilk megabayt dosyaları şifreler. Son olarak, kurbanın genel anahtarını, Chacha20 nonce ve parçaları içeren her şifreli dosyaya 113 bayt altbilgi ekler.
Fidye notu, giriş ekranlarında ve web arayüzlerinde görünür hale getirmek için '/etc/motd' (günün mesajı) ve '/usr/lib/vmware/hostd/docroot/ui/index.html' olarak yazılmıştır.
Kaydedilen gelecek analistler, ESXI varyantının bir örneğin zaten çalışıp çalışmadığını kontrol etmek için '/tmp/app.pid' adlı bir dosya kullandığını buldu.
Bu dosya bir işlem kimliği ile varsa, fidye yazılımı bu süreci öldürmeye çalışır ve çıkar.
Ancak, dosya '-1' içeriyorsa, fidye yazılımı, var olmayan bir süreci öldürmeye çalıştığı ve etkili bir şekilde kendini nötralize ettiği sonsuz bir döngüye girer.
Bu pratik olarak, kuruluşların RansomHub ESXI varyantına karşı korunmak için '-1' içeren bir /tmp/app.pid dosyası oluşturabileceği anlamına gelir. Yani, en azından RAAS operatörleri hatayı düzeltene ve bağlı kuruluşlarının saldırılarda kullanmaları için güncellenmiş sürümleri sunana kadar.
Ratel Rat fidye yazılımı saldırılarında modası geçmiş Android telefonları hedefliyor
Fidye Yazılımı Saldırısında Çalınan Sağlık Hizmetlerini Değiştirin Tıbbi Verileri Listeler
Frontier, gasp tehditlerinden sonra 750.000 veri ihlalini uyarıyor
Christie's, müşterileri RansomHub veri ihlali bildirmeye başlar
Yeni Sis Fidye Yazılımı, ihlal edilen VPN'ler aracılığıyla ABD eğitim sektörünü hedefliyor
Kaynak: Bleeping Computer