Linuxová verze ransomwaru TargetCompany cílí na VMware ESXi | Acamprol

Linuxová verze ransomwaru TargetCompany cílí na VMware ESXi

Výzkumníci pozorovali novou linuxovou variantu ransomwarové rodiny TargetCompany, která se zaměřuje na prostředí VMware ESXi pomocí vlastního skriptu shellu k doručování a spouštění dat.

Operace ransomwaru TargetCompany, známá také jako Mallox, FARGO a Tohnichi, vznikla v červnu 2021 a zaměřila se na databázové útoky (MySQL, Oracle, SQL Server) proti organizacím zejména na Tchaj-wanu, Jižní Koreji, Thajsku a Indii.


V únoru 2022 antivirová společnost Avast oznámila dostupnost bezplatného dešifrovacího nástroje, který pokrýval varianty vydané k tomuto datu. V září se však gang vrátil k pravidelné činnosti zaměřené na zranitelné servery Microsoft SQL a vyhrožování obětem únikem odcizených dat přes Telegram.

Nová varianta Linuxu

V dnešní zprávě kybernetická bezpečnostní firma Trend Micro uvádí, že nová linuxová varianta ransomwaru TargetCompany zajišťuje, že má administrátorská práva, než bude pokračovat ve své škodlivé rutině.

Ke stažení a spuštění datové části ransomwaru používá činitel ohrožení vlastní skript, který může také exfiltrovat data na dva samostatné servery, pravděpodobně z důvodu redundance v případě technických problémů se strojem nebo pokud dojde k jeho kompromitaci.

Vlastní skript shellu použitý při nedávných útocích
Zdroj: Trend Micro

Jakmile je na cílovém systému, datová část zkontroluje, zda běží v prostředí VMware ESXi spuštěním příkazu ‘uname’ a vyhledáním ‘vmkernel’.

Poté je vytvořen soubor “TargetInfo.txt” a odeslán na příkazový a řídicí server (C2). Obsahuje informace o oběti, jako je název hostitele, IP adresa, podrobnosti o operačním systému, přihlášení uživatelé a oprávnění, jedinečné identifikátory a podrobnosti o zašifrovaných souborech a složkách.

Ransomware zašifruje soubory, které mají přípony související s VM (vmdk, vmem, vswp, vmx, vmsn, nvram) přidáním přípony „.locked“ do výsledných souborů.

Nakonec je vypuštěna poznámka o výkupném s názvem „HOW TO DECRYPT.txt“, která obsahuje pokyny pro oběť, jak zaplatit výkupné a získat platný dešifrovací klíč.

U varianty Linuxu byla vypuštěna výkupná poznámka
Zdroj: Trend Micro

Po dokončení všech úkolů skript shellu odstraní datovou část pomocí příkazu ‘rm -f x’, takže všechna trasování, která lze použít při vyšetřování po incidentu, jsou z postižených počítačů smazána.

Nejnovější řetězec útoků společnosti TargetCompany
Zdroj: Trend Micro

Analytici Trend Micro připisují útoky zavádějící novou linuxovou variantu ransomwaru TargetCompany přidružené společnosti jménem „upír“, což je pravděpodobně totéž v Sequoia zpráva minulý měsíc.

IP adresy použité k doručení užitečného zatížení a přijetí textového souboru s informacemi o oběti byly vysledovány k ISP v Číně. K přesnému určení původu útočníka to však nestačí.

Ransomware TargetCompany se obvykle zaměřoval na počítače se systémem Windows, ale vydání varianty Linux a přechod na šifrovací stroje VMWare ESXi ukazuje vývoj operace.

Trend Micro zpráva obsahuje sadu doporučení, jako je povolení vícefaktorové autentizace (MFA), vytváření záloh a udržování systémů v aktuálním stavu.

Výzkumníci poskytují seznam indikátorů kompromitace s hodnotami hash pro verzi linuxového ransomwaru, vlastní skript shellu a ukázky související s ‘upírskou’ pobočkou.

Leave a Reply

Your email address will not be published. Required fields are marked *