Sophos’tan araştırmacılar, saldırganların VMware ESXi sunucularında barındırılan sanal makineleri şifrelemek için bir Python betiği kullandığını keşfettiklerinde bir fidye yazılımı saldırısını araştırıyorlardı.

Uzmanlar tarafından araştırılan saldırıda, fidye yazılımı operatörleri, ilk izinsiz girişten sadece üç saat sonra sanal diskleri bir VMware ESXi sunucusunda şifreledi.

Davetsiz misafirler, bir alan yöneticisinin oturum açmış olduğu bir cihazda çalışan bir TeamViewer hesabına giriş yaparak ağa erişim elde etti. Ardından saldırganlar, ağ ucunu taramak için Gelişmiş IP Tarayıcıyı kullandılar ve diğer hedefleri belirlediler, ardından Bitvis adlı bir SSH istemcisi kullanarak bir ESXi sunucusuna giriş yaptılar. Bu durumda, kurban kuruluştaki BT yöneticileri, saldırganlara kapıyı açmayı sağlayan SSH ESXi Shell hizmetinden ayrıldı.

Fidye yazılımı operatörleri daha sonra sunucuda barındırılan sanal makinelerin tüm sanal disklerini ve VM ayar dosyalarını şifrelemek için küçük bir Python betiği (6kb) yürüttü.

“Saldırganlar ağı taradıktan üç saat sonra, ESXi Shell’de oturum açmak için kimlik bilgilerini kullandılar ve hipervizör üzerinde çalışan VM’ler tarafından kullanılan sanal disk görüntülerini barındıran ESXi veri deposuna fcker.py adlı bir dosya kopyaladılar. ” Sophos analizini okur . “Saldırganlar birer birer Python komut dosyasını yürüttüler ve komut dosyasına bir argüman olarak veri deposu disk birimlerine giden yolu ilettiler. Her bir birim, birden çok sanal makine için sanal disk ve VM ayarları dosyalarını içeriyordu.

Adli tıp uzmanları Python betiğinin bir kopyasını kurtarabildi ve saldırganların birden fazla şifreleme anahtarı, e-posta adresi yapılandırmak için bir dizi değişken ayarlayabildiğini ve şifrelenmiş dosyalar için dosya son ekini seçebildiğini keşfetti.

Saldırganlar önce sanal makineleri kapatır, kurbanların onları kurtarmasını önlemek için veri deposu birimlerinde depolanan orijinal dosyaların içeriğinin üzerine yazar, ardından VM disklerini siler.

“Başlangıçta, komut dosyası bir veri deposunun dosya sisteminde “yürür” ve sürücünün bir dizin haritasını oluşturur ve hipervizördeki her sanal makinenin adlarını vms.txt adlı bir dosyaya yazarak envanterini çıkarır .Ardından , her VM için bir kez ESXi Shell komutunu vim-cmd vmsvc/power.off yürütür ve VM adlarını birer birer değişken olarak komuta iletir. Yalnızca VM’ler kapatıldığında komut dosyası veri deposu birimlerini şifrelemeye başlayacak.” analizi belirtir. “ Bunları şifreler her dosya için tek bir talimat kullanarak, komut dosyası aşağıdaki komutu ile dosya şifrelemek için açık kaynak aracı openssl çağırır:
openssl rsautil -encrypt -inkey pubkey.txt -pubin -out [dosyaadı].txt
,Daha sonra orijinal dosyanın içeriğinin üzerine sadece *** kelimesiyle yazar ve ardından orijinal dosyayı siler. Son olarak, silmeden önce bu dosyaların üzerine yazarak dizin listelerini, sanal makinelerin adlarını ve kendisini içeren dosyaları siler.”

Uzmanlar, bu fidye yazılımının her çalıştırıldığında benzersiz bir anahtar çifti oluşturduğunu fark etti.

Ne yazık ki, ESXi sunucularına yönelik saldırılar sıklaşıyor, birden fazla fidye yazılımı çetesi onları hedef alıyor. BlackMatter , RansomExx , HelloKitty , REvil ve Babuk Locker .

“ESXi gibi Linux benzeri bir işletim sistemi altında çalışan kötü amaçlı yazılımlar hala nispeten nadirdir, ancak BT personelinin bunun gibi sunuculara uç nokta koruması kurması daha da az yaygındır. Genel olarak hipervizörler, barındırdıkları VM’ler iş açısından kritik hizmetleri veya işlevleri çalıştırabileceğinden, bu tür saldırılar için genellikle oldukça çekici hedeflerdir.” analizi bitirir. “Ağlarında ESXi veya diğer hipervizörleri çalıştıran yöneticiler, en iyi güvenlik uygulamalarını takip etmeli, parolaların yeniden kullanılmasından kaçınmalı ve yeterli uzunlukta karmaşık, kaba kuvvet uygulanması zor parolalar kullanmalıdır. Mümkün olan her yerde, multi-factor authentication kullanımını etkinleştirin ve etki alanı yöneticileri gibi yüksek izinlere sahip hesaplar için MFA kullanımını zorunlu kılın.