猎影观察
勒索软件生态的格局正发生改变,无论是来自外部镇压力量的冲击,还是越来越多受害者拒绝支付赎金,都迫使勒索软件组织做出改变——更高频率的攻击和新的勒索目标。
01
ESXi勒索攻击的常见感染方式
VMware ESXi作为VMware虚拟化管理平台的核心服务,有着广泛的应用基础。在实际场景中,企业为了降低成本和提高效率,往往在一台ESXi服务器上部署创建多个虚拟主机用于业务服务。面对与日俱增的勒索攻击威胁,VMware ESXi勒索攻击常见的感染方式有以下几点:
**1、利用暴露服务上的漏洞。**利用ESXi相关产品的漏洞实施攻击,例如,2021年,RansomEXX勒索病毒,利用VMWare ESXi产品中的漏洞(CVE-2019-5544、CVE-2020-3992),对虚拟硬盘上的文件进行加密,造成大量虚拟机关闭,严重影响企业生产。
**2、使用被盗凭证获取访问权限。**勒索组织通过网络钓鱼、多因素身份验证(MFA)绕过或者初始访问代理(IAB)等方式获取到目标企业的凭证,例如,使用SSH密钥,从而获得对受害企业内网系统的访问权限。
**3、弱口令的暴力破解。**对部署在系统上的数据库等服务进行弱口令的暴力破解也是勒索攻击中常见手段。
以下列举了部分勒索攻击已经/可能被利用的漏洞:
CVE-2021-21974
由OpenSLP服务中的堆溢出问题引起,可以被未经身份验证的攻击者远程利用,在2023年2月被ESXiArgs勒索利用发起大规模勒索攻击
CVE-2022-31696
该漏洞源于处理网络套接字的方式中存在内存损坏,攻击者利用该漏洞可能会利用此问题破坏内存,从而导致ESXi沙箱逃逸,可能会被勒索组织利用
CVE-2022-31697
信息泄露漏洞,该漏洞源于以明文形式记录凭据,攻击者利用该漏洞可以访问该操作期间使用的明文密码,可能会被勒索组织利用
CVE-2022-31698
内容库服务中存在拒绝服务,攻击者利用该漏洞可以通过发送特制标头来触发拒绝服务条件,可能会被勒索组织利用
CVE-2022-31699
该漏洞源于包含堆溢出,攻击者利用该漏洞可能会实现部分信息泄露,可能会被勒索组织利用
CVE-2023-20854
任意文件删除漏洞,在受害者机器上拥有本地用户权限的恶意攻击者可能利用此漏洞在安装了VMware Workstation的机器文件系统中删除任意文件,可能会被勒索组织利用
CVE-2023-20867
VMware Tools 身份验证绕过缺陷,蹭被黑客利用窃取数据,可能会被勒索组织利用
02
今年出现的部分ESXi勒索家族
通过对2023年新出现勒索家族和变种的观察和统计,我们发现针对Linux和VMwareESXi的勒索软件数量有所增加,接下来我们介绍一些今年出现的典型VMwareESXi勒索家族。
ESXiArgs
ESXiArgs勒索使用2年前的ESXi远程代码执行漏洞(CVE-2021-21974)对未修补的ESXi服务器进行攻击,加密了全球3000多台暴露在互联网上的VMwareESXi服务器。
该漏洞是由OpenSLP服务中的堆溢出问题引起的,可以被未经身份验证的攻击者远程利用。ESXiArgs勒索通过执行脚本来运行加密文件,加密vmdk等相关文件,并释放勒索信How to Restore Your Files.html。
Royal
Royal勒索软件最早以Zeon为名称,于2022年1月启动运营,9月更名为Royal。
在2023年2月被观察到出现针对Linux/VMware ESXi的变体,加密文件后附加“.royal_u”的扩展名并释放名称为“readme”勒索信文件。
Cactus
Cactus 勒索最早在2023年3月开始活动,于2023年5月被披露。该勒索使用加密自身的方法试图逃避检测,利用 VPN 设备中的漏洞来获得初始访问权限。
“CACTUS”这个名字来源于赎金票据中提供的文件名 cAcTuS.readme.txt,以及赎金票据本身中自我声明的名称。目前有windows和linux两个版本的变体,拥有自己的tor博客用于公布泄露数据。
Akira
Akira最早在2023年3月被发现,开始时针对教育、金融、房地产、制造和咨询等行业的Windows系统,从被破坏的网络窃取数据并加密文件以对受害者进行双重勒索,要求支付数百万美元。
在6月,陆续观察到出现针对Linux/VMware ESXi平台的Akira勒索变种。
Abyss Locker
Abyss Locker勒索家族最早于2023年5月被发现,最初发现的是Windows变体,在7月出现Linux变体,称为Abyss Locker V2,根据安全人员分析发现Linux变体与此前的hello kitty的Linux变体在参数和代码上存在类似,很可能是在此源码基础上改制而成。
Linux变体针对ESXi架构,在运行加密前终止相关虚拟机进程,以防止文件被锁定并避免数据损坏。
Knigh
最初称为Cyclops,首次被发现于2023年5月,背后的勒索组织开发了专门的构建器,用于在Windows,Linux和MacOS操作系统上分发勒索软件,此外有不同的二进制文件可用于专门为 Linux 和 Windows 定制的辅助窃取程序组件。
7月,该组织在暗网门户网站上最近的一篇文章显示他们已经宣布关闭他们的旧面板和博客。此外,他们打算将自己重新命名为“Knight”
Rhysida
Rhysida勒索组织首次被披露于2023年5月, Rhysida使用双重勒索策略,加密文件并且窃取敏感数据,并且使用勒索即服务(RaaS)的运营模式。
在加密受害者文件后附加.rhysida的后缀名,释放的勒索信文件 CriticalBreachDetected.pdf,并在内容中将自己定位为“网络安全团队”。
Qilin
又名Agenda勒索,Windows版本最早于2022年8月中旬被发现,2023年重命名为Qilin, 8月,Group-ib公司揭露了Qilin勒索的RaaS策略,并表明Qilin拥有构建器可以生成针对Windows和ESXi的样本。
在2023年10月底,安恒猎影实验室捕获到当时VT检测数为0的Qilin勒索Linux/ESXi变体。该变体运行时允许配置多个命令行参数来启用和禁用特定功能,例如快照删除、进程终止等。
03
防范建议
对于VMware ESXi平台的勒索软件攻击威胁,企业需要采取综合性的安全策略和措施,只有在全面把控VMware ESXi环境的安全,才能够有效防范勒索软件攻击,并保障企业的数据和业务安全。
对此,猎影实验室安全专家给出以下防范建议:
1、定期备份数据和虚拟机:备份数据和虚拟机可以帮助企业在遭受勒索软件攻击时快速进行数据恢复。
2、实施访问控制和身份认证:加强对VMware ESXi平台的访问控制和身份认证,限制用户对虚拟机和关键数据的访问权限。建议使用多因素身份认证和严格的访问控制策略来保护VMware ESXi环境的安全。
3、及时更新补丁和漏洞修复:VMware ESXi漏洞可能导致攻击者入侵系统。因此,及时更新VMware ESXi系统和组件的安全补丁和漏洞修复非常重要。同时也需要定期评估VMware ESXi平台的安全性和风险性。
4、增强安全意识教育:企业应该加强员工的安全培训和意识教育,增强员工识别 phishing 邮件、社会学工程等攻击的能力,并建立反应方案。
5、实施强大的安全解决方案:企业应该选择具有强大防御能力的安全解决方案,例如入侵检测系统、反病毒软件等,以及定期进行安全审计和风险评估。