VMware ESXi

Ransomware Black Basta versi Linux menargetkan server VMware ESXi

June 8, 2022 by Eevee

Black Basta adalah geng ransomware terbaru yang menambahkan dukungan untuk mengenkripsi mesin virtual (VM) VMware ESXi yang berjalan di server Linux perusahaan.

Sebagian besar grup ransomware sekarang memfokuskan serangan mereka pada VM ESXi karena taktik ini selaras dengan penargetan perusahaan mereka. Ini juga memungkinkan untuk memanfaatkan enkripsi yang lebih cepat dari beberapa server dengan satu perintah.

Mengenkripsi VM masuk akal karena banyak perusahaan baru-baru ini bermigrasi ke mesin virtual karena memungkinkan pengelolaan perangkat yang lebih mudah dan penggunaan sumber daya yang jauh lebih efisien.

Dalam sebuah laporan baru, analis Uptycs Threat Research mengungkapkan bahwa mereka melihat binari ransomware Black Basta baru yang secara khusus menargetkan server VMWare ESXi.

Encryptor ransomware Linux bukanlah hal baru, dan BleepingComputer telah melaporkan encryptor serupa yang dirilis oleh beberapa geng lain, termasuk LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX, dan Hive.

Seperti encryptor Linux lainnya, biner ransomware Black Basta akan mencari /vmfs/volumes tempat mesin virtual disimpan di server ESXi yang disusupi (jika tidak ada folder seperti itu yang ditemukan, ransomware akan keluar).

Ransomware menggunakan algoritma ChaCha20 untuk mengenkripsi file. Ini juga memanfaatkan multithreading untuk menggunakan banyak prosesor dan mempercepat proses enkripsi.

Saat mengenkripsi, ransomware akan menambahkan ekstensi .basta ke nama file terenkripsi dan membuat catatan tebusan bernama readme.txt di setiap folder.

Catatan tersebut menyertakan tautan ke panel dukungan obrolan dan ID unik yang dapat digunakan korban untuk berkomunikasi dengan penyerang.

Catatan tebusan Black Basta Linux (BleepingComputer)

“Berdasarkan tautan dukungan obrolan dan ekstensi file terenkripsi, kami percaya bahwa aktor di balik kampanye ini adalah sama yang menargetkan sistem Windows sebelumnya dengan ransomware Black Basta.”

Ransomware Black Basta pertama kali terlihat di alam liar pada minggu kedua bulan April, saat operasi tersebut dengan cepat meningkatkan serangannya yang menargetkan perusahaan di seluruh dunia.

Meskipun tuntutan tebusan geng cenderung bervariasi antara korban, BleepingComputer tahu setidaknya satu yang menerima permintaan lebih dari $ 2 juta untuk decryptor dan untuk menghindari kebocoran data online.

Meskipun tidak banyak lagi yang diketahui tentang geng ransomware baru, ini mungkin bukan operasi baru melainkan perubahan citra karena kemampuan mereka yang ditunjukkan untuk dengan cepat menembus korban baru dan gaya negosiasi (mungkin perubahan citra operasi ransomware Conti).

CTO Emsisoft Fabian Wosar sebelumnya telah memberi tahu bahwa geng ransomware lain (selain yang kami laporkan), termasuk Babuk, RansomExx/Defray, Mespinoza, GoGoogle, Snatch, PureLocker, dan DarkSide, juga telah mengembangkan dan menggunakan enkripsi Linux mereka sendiri.

Sumber: Bleeping Computer

Ransomware Linux ‘Cheers’ baru menargetkan server VMware ESXi

May 27, 2022 by Eevee

Ransomware baru bernama ‘Cheers’ telah muncul di ruang kejahatan dunia maya dan telah memulai operasinya dengan menargetkan server VMware ESXi yang rentan.

VMware ESXi adalah platform virtualisasi yang biasa digunakan oleh organisasi besar di seluruh dunia, jadi mengenkripsi mereka biasanya menyebabkan gangguan parah pada operasi bisnis.

Kami telah melihat banyak grup ransomware yang menargetkan platform VMware ESXi di masa lalu, dengan tambahan terbaru adalah LockBit dan Hive.

Penambahan ransomware Cheers ke klub ditemukan oleh analis di Trend Micro, yang menyebut varian baru ‘Cheerscrypt’.

Setelah server VMware ESXi disusupi, pelaku ancaman meluncurkan encryptor, yang secara otomatis akan menghitung mesin virtual yang sedang berjalan dan mematikannya menggunakan perintah esxcli berikut.

esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)

Saat mengenkripsi file, ia secara khusus mencari file dengan ekstensi .log, .vmdk, .vmem, .vswp, dan .vmsn berikut. Ekstensi file ini terkait dengan snapshot ESXi, file log, file swap, file paging, dan disk virtual.

Setiap file terenkripsi akan memiliki ekstensi “.Cheers” yang ditambahkan ke nama filenya. Anehnya, penggantian nama file terjadi sebelum enkripsi, jadi jika izin akses untuk mengubah nama file ditolak, enkripsi akan gagal, tetapi file akan tetap diganti namanya.

Skema enkripsi menggunakan sepasang kunci publik dan pribadi untuk mendapatkan kunci rahasia (SOSEMANUK stream cipher) dan menyematkannya di setiap file terenkripsi. Kunci pribadi yang digunakan untuk membuat kunci rahasia dihapus untuk mencegah pemulihan.

Saat memindai folder untuk file yang akan dienkripsi, ransomware akan membuat catatan tebusan bernama ‘Cara Mengembalikan File Anda.txt’ di setiap folder.

Catatan tebusan ini mencakup informasi tentang apa yang terjadi pada file korban dan tautan ke situs kebocoran data Tor operasi ransomware dan situs negosiasi tebusan.

Setiap korban memiliki situs Tor unik untuk negosiasi mereka, tetapi URL situs kebocoran data Onion bersifat statis.

Cheers uang tebusan untuk para korban
Sumber: BleepingComputer

Berdasarkan penelitian BleepingComputer ke dalam operasi baru, tampaknya telah diluncurkan pada Maret 2022.

BleepingComputer menemukan kebocoran data dan pemerasan korban situs Onion untuk operasi ransomware Cheers, yang saat ini hanya mencantumkan empat korban.

Namun, keberadaan portal ini menunjukkan bahwa Cheers melakukan eksfiltrasi data selama serangan dan menggunakan data yang dicuri dalam serangan pemerasan ganda.

Kebocoran data Cheer situs Bawang
Sumber: BleepingComputer

Berdasarkan catatan tebusan yang kami periksa, pelaku ancaman memberi korbannya tiga hari untuk mengakses situs Tor yang disediakan untuk menegosiasikan pembayaran tebusan sebagai ganti kunci dekripsi yang berfungsi.

Jika korban tidak membayar uang tebusan, pelaku ancaman mengatakan mereka akan menjual data yang dicuri ke penjahat lain.

Jika tidak ada yang tertarik untuk membeli data, data tersebut akan dipublikasikan di portal kebocoran dan diekspos ke klien, kontraktor, otoritas perlindungan data, pesaing, dan pelaku ancaman lainnya.

Sumber: Bleeping Computer

Ransomware LockBit versi Linux menargetkan server VMware ESXi

January 27, 2022 by Eevee

Geng ransomware kini telah mengembangkan taktik mereka untuk membuat enkripsi Linux yang secara khusus menargetkan platform virtualisasi VMware vSphere dan ESXi yang populer selama setahun terakhir.

Meskipun ESXi tidak sepenuhnya Linux, ia memiliki banyak karakteristik yang sama, termasuk kemampuan untuk menjalankan executable ELF64 Linux.

Pada bulan Oktober, LockBit mulai mempromosikan fitur baru dari operasi Ransomware-as-a-Service mereka di forum peretasan RAMP, termasuk encryptor Linux baru yang menargetkan mesin virtual VMware ESXi.

Peneliti Trend Micro menganalisis encryptor Linux geng ransomware dan menjelaskan bagaimana itu digunakan untuk menargetkan instalasi VMWare ESXi dan vCenter.

Seperti encryptor Linux lainnya, LockBits menyediakan antarmuka baris perintah yang memungkinkan afiliasi untuk mengaktifkan dan menonaktifkan berbagai fitur untuk menyesuaikan serangan mereka.

Argumen baris perintah enkripsi LockBit Linux
Sumber: Trend Micro

Yang membuat encryptor linux LockBit menonjol adalah penggunaan luas utilitas baris perintah VMware ESXI dan VMware vCenter untuk memeriksa mesin virtual apa yang sedang berjalan dan untuk mematikannya dengan bersih sehingga tidak rusak saat dienkripsi.

Trend Micro menyatakan bahwa encryptor menggunakan AES untuk mengenkripsi file dan algoritma elliptic-curve cryptography (ECC) untuk mengenkripsi kunci dekripsi.

Dengan meluasnya penggunaan VMware ESXI di perusahaan, semua pembela jaringan dan profesional keamanan harus mengharapkan bahwa setiap operasi ransomware besar telah mengembangkan varian Linux.

Dengan membuat asumsi ini, admin dan profesional keamanan dapat membuat pertahanan dan rencana yang sesuai untuk melindungi semua perangkat di jaringan mereka, bukan hanya perangkat Windows.

Hal ini terutama berlaku untuk operasi LockBit, yang telah menjadi operasi ransomware paling menonjol sejak REvil ditutup dan membanggakan kecepatan dan rangkaian fitur enkripsinya.

Penting juga untuk diingat bahwa sebanyak kita menonton geng ransomware, mereka juga mengawasi kita kembali.

Ini berarti bahwa mereka memantau umpan sosial peneliti dan jurnalis untuk taktik, pertahanan, dan kerentanan terbaru yang kemudian dapat mereka gunakan terhadap target perusahaan.

Selengkapnya : Bleeping Computer

Ransomware AvosLocker versi Linux menargetkan server VMware ESXi

January 11, 2022 by Eevee

AvosLocker adalah geng ransomware terbaru yang telah menambahkan dukungan untuk mengenkripsi sistem Linux ke varian malware terbaru, yang secara khusus menargetkan mesin virtual VMware ESXi.

Beberapa bulan yang lalu, geng AvosLocker juga terlihat mengiklankan varian ransomware terbarunya, Windows Avos2 dan AvosLinux, sambil memperingatkan afiliasi untuk tidak menyerang target pasca-soviet/CIS.

VM ESXi dihentikan sebelum enkripsi
Setelah diluncurkan pada sistem Linux, AvosLocker akan menghentikan semua mesin ESXi di server menggunakan perintah berikut:

esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” daftar proses vm | ekor -n +2 | awk -F $’,’ ‘{system(“esxcli vm process kill –type=force –world-id=” $1)}’

Setelah mulai beroperasi pada sistem yang disusupi, ransomware akan menambahkan ekstensi .avoslinux ke semua file terenkripsi.

Itu juga menjatuhkan catatan tebusan yang meminta para korban untuk tidak mematikan komputer mereka untuk menghindari korupsi file dan mengunjungi situs bawang untuk rincian lebih lanjut tentang cara membayar uang tebusan.

AvosLocker adalah geng baru yang pertama kali muncul selama musim panas 2021, menyerukan afiliasi ransomware di forum bawah tanah untuk bergabung dengan operasi Ransomware-as-a-Service (RaaS) mereka yang baru diluncurkan.

Langkah untuk menargetkan mesin virtual ESXi sejalan dengan target perusahaan mereka, yang baru-baru ini bermigrasi ke mesin virtual untuk pengelolaan perangkat yang lebih mudah dan penggunaan sumber daya yang lebih efisien.

Dengan menargetkan VM, operator ransomware juga memanfaatkan enkripsi beberapa server yang lebih mudah dan lebih cepat dengan satu perintah.

Sejak Oktober, ransomware Hive mulai mengenkripsi sistem Linux dan FreeBSD menggunakan varian malware baru, dalam beberapa bulan setelah peneliti melihat encryptor Linux REvil ransomware menargetkan VMware ESXi VM.

Emsisoft CTO Fabian Wosar mengatakan bahwa geng ransomware lain, termasuk Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide, dan Hellokitty, juga telah membuat dan menggunakan enkripsi Linux mereka sendiri.

Varian Linux ransomware HelloKitty dan BlackMatter juga ditemukan di alam liar oleh peneliti keamanan pada bulan Juli dan Agustus, yang lebih lanjut mengkonfirmasi pernyataan Wosar. Operasi ransomware Snatch dan PureLocker juga telah diamati menggunakan enkripsi Linux di masa lalu.

Sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

VMware ESXi

Cookies Settings