Благодаря атакам на ESXi корпоративная сеть средней организации может быть полностью зашифрована за три часа.
Одна из самых быстрых зафиксированных исследователями Sophos кибер-атак была осуществлена операторами, которые «определенно нацелились на платформу ESXi» и успешно зашифровали виртуальные машины жертвы.
Во вторник команда исследователей Sophos заявила, что новый вариант шифровальщика, написанный на языке Python, был развернута через десять минут после того, как хакерам удалось взломать принадлежащую организации-жертве учетную запись TeamViewer.
TeamViewer - это платформа удаленного управления, которую могут использовать как обычные пользователи, так и компании для удаленного управления и контроля ПК и мобильных устройств.
Поскольку программное обеспечение было установлено на машине, используемой работником, который также владел учетными данными администратора домена, злоумышленникам понадобилось всего десять минут - с 12:30 до 12:40 - чтобы обнаружить уязвимый сервер ESXi, подходящий для следующего этапа атаки.
VMware ESXi - это гипервизор корпоративного класса, используемый в vSphere - системе, предназначенной для управления контейнерами и виртуальными машинами.
Исследователи сообщают, что сервер ESXi, вероятно, был уязвим для эксплойта из-за активной службы ESXi Shell, что привело к установке Bitvise, программного обеспечения SSH, используемого - по крайней мере в легальном смысле - для задач администрирования серверов Windows.
В данном случае атакующие использовали Bitvise для доступа к ESXi и файлам виртуальных дисков, используемых активными виртуальными машинами.
«Серверы ESXi имеют встроенную службу SSH под названием ESXi Shell, которую администраторы могут включить, но по умолчанию она обычно отключена» - заявляют в Sophos. «ИТ-персонал этой организации привык использовать ESXi Shell для управления сервером, и в течение месяца до атаки включал и отключал оболочку несколько раз. Однако в последний раз, когда они включили оболочку, они не отключили ее».
За следующие три часа хакерам удалось развернуть своего шифровальщика на Python и зашифровать виртуальные жесткие диски.
Скрипт, использованный для взлома виртуальных машин компании, имел размер всего 6 кб, но при этом включал в себя различные наборы ключей шифрования, адреса электронной почты и опции для настройки суффикса, используемого для шифрования файлов.
Вредонос создавал карту диска, составляла список имен виртуальных машин, а затем отключал питание каждой виртуальной машины. Как только все они были отключены, началось полное шифрование базы данных. Затем был использован OpenSSL для быстрого шифрования путем выдачи команды в лог имени каждой виртуальной машины на гипервизоре.
После завершения шифрования использованные в атаке файлы перезаписывались словом f*ck, а затем удалялись.
Известно, что подобную технику используют такие группировки, как DarkSide - ответственная за атаку Colonial Pipeline - и REvil. Исследователи Sophos добавили что скорость этой атаки должна напомнить ИТ-администраторам, что стандарты безопасности слудет поддерживаться как на платформах VM, так и в стандартных корпоративных сетях.
«Python - это язык программирования, который не часто используется для создания шифровальщиков» - прокомментировал Эндрю Брандт, главный исследователь Sophos. «Однако Python предустановлен на системах на базе Linux, таких как ESXi, и это делает возможными атаки на бызе Python на таких системах. Серверы ESXi представляют собой привлекательную цель для вымогательства, поскольку через них можно атаковать сразу несколько виртуальных машин, на каждой из которых могут работать важные для бизнеса приложения или сервисы».
Источник: https://www.zdnet.com
