VMWare diventa obbiettivo per il ransomware Cheerscrypt

In questi anni ormai dovremmo aver capito che Linux non è più una piattaforma inespugnabile: sempre più malware prendono di mira il pinguino, e sempre più spesso con successo.

Su Linux – e il suo insieme di programmi per avere un sistema operativo – sono basate moltissime tecnologie usate in ambito enterprise. Compresi gli hypervisor di VMWare, ovvero quell’OS base che il solo compito di virtualizzare le risorse del server per permettere la creazione di molte macchine virtuali.

TrendMicro in un post pubblicato settimana scorsa descrive un ransomware, ovvero un malware che cripta i file sul disco con lo scopo di chiedere un riscatto, che lavora in Linux e specifico per VMWare ESXi. Il ransomware si chiama Cheerscrypt ed ha caratteristiche avanzate nella generazione della chiave usata nella criptazione, per evitare di scriverla sul server stesso – permettendo, come talvolta accade, di recuperarla – o di calcolare indietro – di fatto, crackando la chiave stessa.

La pericolosità di questo malware risiede nell’obbiettivo scelto: essendo un hypervisor, il disco non contiene singoli file ma i dischi delle macchine virtuali. Insomma, criptando il disco di ESXi, vengono criptati tutti i file di tutte le macchine virtuali gestite da quel server.

La migliore difesa contro i ransomware è il backup: avendo al sicuro una copia dei file, se anche vengono criptati quelli sulla macchina è sempre possibile ripristinare la copia. Ma se la copia di backup è su un’altra macchina virtuale, anch’essa potrebbe esser stata criptata.

Spesso le macchine virtuali sono a loro volta oggetto di backup (essendo di base dei semplici file), quindi potenzialmente si avrebbe ancora la possibilità di ripristinare quanto criptato. Ma fare il ripristino di intere macchine è molto più lungo (e complesso) della copia di singoli file, e doverlo fare per varie macchine potrebbe risultare quantomeno oneroso.

Insomma, un bel problemino per l’azienda da quasi 70 miliardi di dollari. Ma i consigli rimangono sempre gli stessi: aggiornamento e backup dei dati!

Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.

3 risposte a “VMWare diventa obbiettivo per il ransomware Cheerscrypt”

  1. Avatar JustATiredMan
    JustATiredMan

    si ma non si capisce bene come funziona. Non e’ chiaro se e’ in grado di scavalcare al layer di virtualizzazione ed accedere direttamente all’hypervisor, da una vm linux in esecuzione, oppure se prima deve prendere possesso di una macchina linux in grado di acceedere via rete all’esxi o al vsphere. A occhio mi pare quest’ultimo caso. Se cosi’ fosse, bisogna quindi che il malware abbia anche le credenziali amministrative dell esxi/vsphere per poter fare il suo sporco lavoro.

  2. Avatar Marco Bonfiglio
    Marco Bonfiglio

    Confermo (da quanto comprendo anche io dal post di Trend Micro) che l’attacco è portato direttamente all’ESXi, quindi richiede un accesso alla rete “management” degli host ESXi. Inoltre, richiede al lancio direttamente il path da criptare, che è un’altra informazione non sempre disponibile. Infine, prima di criptare i file cerca di fermare i processi (le VM) che li detengono per poterli manipolare senza “interferenze”, e li rinomina anche.
    Tutte queste operazioni richiedono accesso privilegiato su ESXi e la sua shell, ulteriore livello di difficoltà che non è (ancora) dato sapere se il malware è in grado di superare da solo o ha bisogno che qualcuno apra la strada.
    Il punto dell’articolo era di non sottovalutare una minaccia a livello infrastrutturale, concentrandosi tanto sui singoli servizi (e le VM che li ospitano) e meno su quanto usato internamente per offrire quel servizio, perché tale valutazione sbagliata potrebbe costare caro. Specie in ambienti medio/piccoli, o comunque non gestiti alla perfezione, dove la rete di management è completamente accessibile da quella di produzione.

  3. Avatar JustATiredMan
    JustATiredMan

    se è così allora non lo definirei tanto un “ramsonware”… è una sorta di shell script che usa i comandi esxicli, per buttare giù le vm, e poi lanciare la cifratura dei files. Si certo, ovviamente genera una coppia di chiave pubblica/privata e la carica i qualche server remoto, ma per funzionare devono andare dritte un sacco di cose. Probabilmente potrà essere utillizzabile solo se l’attaccante ha avuto modo di restare in ascolto sulla rete, da un qualche pc o server o vm infette, in modo da intercettare le password dell’esxi e quindi poterne esplorare i volumi e le directory, altrimenti tutta stà roba non funziona. Lo vedo più uno strumento per un attacco su misura, che non un classico malware che spara sul mucchio e chi prende, prende.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *