I ricercatori di Sophos, azienda inglese che si occupa tra le altre cose di sicurezza, hanno identificato un nuovo ransomware che punta alla compromissioni di macchine erogate tramite sistemi ESXi, ovvero la componente hypervisor del famoso sistema di virtualizzazione creato da VMware.
Il comportamento finale del ransomware è sempre il solito: i dischi dei sistemi virtuali vengono criptati con crittografie forti e viene richiesto un “riscatto” per avere la chiave necessaria a riappropiarsi dei propri dati.
Nulla di nuovo sotto il sole, quello che ha lasciato a bocca aperta gli sviluppatori è la velocità con la quale si passa dalla compromissione iniziale ai dischi criptati:
In what was one of the quickest attacks Sophos has investigated, from the time of the initial compromise until the deployment of the ransomware script, the attackers only spent just over three hours on the target’s network before encrypting the virtual disks in a VMware ESXi server
In quello che è stato uno degli attacchi più rapidi che Sophos ha mai investigato, dal momento della compromissione iniziale fino alla distribuzione dello script ransomware, gli attaccanni hanno speso appena poco più di tre ore nella rete bersaglio prima di criptare i dischi virtuali in un server VMware ESXi
Il punto di ingresso è stato quello del pc di un amministratore di dominio della rete bersaglio: passando da TeamViewer (lasciato in esecuzione in background e senza l’autenticazione multi-fattore attiva), hanno scaricato un tool chiamato Advanced IP Scanner per mappare la rete bersaglio. Poco più di un’ora dopo ha scaricato un client ssh che è stato utilizzato per loggarsi in un server ESXi che aveva -sfortunatamente- attiva la ESXi Shell.
Una volta loggati su di esso, è stato scaricato il tool fcker.py che ha provveduto ad accedere all’ESXi Datastore (dove vengono mantenuti i dischi virtuali dei server in esecuzione su quell’hypervisor) ed ha iniziato a criptare i dischi, seppur in maniera un pochino diversa dal solito.
Normalmente, in questi attacchi, l’attaccante genera sul suo computer una coppia di chiavi pubblica/privata. La parte pubblica viene di solito scritta direttamente nel codice del ransomware ed utilizzata per criptare i dati, dopodichè l’unico modo per decriptare questi dati è chiedere all’attaccante, in genere pagando una certa cifra, di avere la chiave privata relativa, necessaria al suo decriptaggio.
Questo script da 6kb, invece, usa un approccio differente: genera una lista delle macchine virtuali in esecuzione e, per ognuna di esse, crea a runtime una nuova coppia di chiavi ed usa la pubblica per criptare il disco della stessa. In questo modo ogni macchina necessità di una differente chiave privata per poterla decriptare.
Il fatto è che lo script in questione, recuperato dagli analisti di Sophos nonstante l’attaccante abbia cercato di sovrascriverlo con altri dati, non ha alcun modo di trasmettere all’esterno le chiavi private, quindi le scrive localmente e poi cripta questi file con una chiave pubblica colata nel codice stesso.
La descrizione riportata nell’articolo di Sophos è molto interessante poichè, avendo avuto modo di recuperare il codice del malware, hanno potuto sbirciare nel codice e, riportandone alcune parti, ci permettono di “vedere” come pensano gli sviluppatori di questi tipi di software.
Che gli hypervisor in generale siano bersagli “succulenti” è risaputo, essendo in esecuzione su di essi in genere sistemi fondamentali per l’erogazione dei servizi aziendali, ed è proprio per questo che sistemi di amministrazione remota degli stessi (come il caso della ESXi Shell sfruttata in questo attacco) sono spesso disabilitati by-default in questi prodotti. L’errore di base è stato quindi un concerto di colpe: se da una parte un amministratore di dominio ha reso il suo sistema vulnerabile, dall’altra anche i sistemisti in carico all’infrastruttura virtuale si sono dimenticati di spegnere questo servizio dai loro hypervisor.
Ma in tutto questo, noi possiamo un pochino crescere in interesse e consapevolezza.
Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.
Lascia un commento