Το RansomHub ransomware φαίνεται πως έχει αποκτήσει και ένα Linux encryptor που έχει σχεδιαστεί για την κρυπτογράφηση VMware ESXi περιβαλλόντων.
Το RansomHub είναι μια επιχείρηση ransomware-as-a-service (RaaS) που εμφανίστηκε τον Φεβρουάριο του 2024, παρουσιάζοντας κάποιες ομοιότητες με τα γνωστά ransomware ALPHV / BlackCat και Knight. Λέγεται ότι έχει ήδη περισσότερα από 45 θύματα σε 18 χώρες.
Η ύπαρξη encryptor για Windows και Linux έχει επιβεβαιωθεί από τις αρχές Μαΐου. Η Recorded Future αναφέρει τώρα ότι η ομάδα απειλών RansomHub έχει επίσης μια εξειδικευμένη παραλλαγή ESXi, την οποία είδε για πρώτη φορά τον Απρίλιο του 2024.
Δείτε επίσης: Οι hackers Scattered Spider συνεργάζονται με την RansomHub
Σε αντίθεση με τις εκδόσεις Windows και Linux του RansomHub ransomware, που είναι γραμμένες σε Go, η έκδοση ESXi είναι ένα πρόγραμμα C++ που πιθανότατα προέρχεται από το πλέον ανενεργό ransomware Knight.
Αξίζει να σημειωθεί ότι η Recorded Future έχει ήδη βρει ένα απλό σφάλμα στην παραλλαγή ESXi, που οι υπερασπιστές δικτύων μπορούν να αξιοποιήσουν για να αποφύγουν την κρυπτογράφηση.
RansomHub ransomware: Παραλλαγή ESXi
Το τελευταίο διάστημα, οι επιχειρήσεις έχουν υιοθετήσει τη χρήση virtual machines για τη φιλοξενία των servers τους, καθώς επιτρέπουν καλύτερη διαχείριση της CPU, της μνήμης και των πόρων αποθήκευσης. Λόγω αυτής της αυξημένης υιοθέτησης, σχεδόν κάθε συμμορία ransomware που στοχεύει σε επιχειρήσεις, έχει δημιουργήσει αποκλειστικούς encryptors VMware ESXi για να στοχεύει αυτούς τους διακομιστές.
Η συμμορία RansomHub δεν αποτελεί εξαίρεση, καθώς η νέα παραλλαγή ESXi κάνει αυτό ακριβώς. Υποστηρίζει διάφορες εντολές, σχετικά με το πού πρέπει να στοχεύσει και τι πρέπει να αποφύγει, ενώ διαθέτει επίσης εντολές για διαγραφή snapshot και για τον τερματισμό των VM.
Ο encryptor απενεργοποιεί, επίσης, το σύστημα καταγραφής και άλλες κρίσιμες υπηρεσίες για να εμποδίσει την καταγραφή και μπορεί να ρυθμιστεί ώστε να διαγράφεται μετά την εκτέλεση για να αποφευχθεί ο εντοπισμός και η ανάλυση.
Δείτε επίσης: Το RansomHub εκμεταλλεύεται το ZeroLogon σε επιθέσεις ransomware
Όσον αφορά στην κρυπτογράφηση, έχουν επιλεγεί τα ChaCha20 και Curve25519 για τη δημιουργία δημόσιων και ιδιωτικών κλειδιών και κρυπτογραφούνται αρχεία, όπως .vmdk, .vmx, .vmsn, μόνο εν μέρει (intermittent encryption) για ταχύτερη απόδοση.
Το σημείωμα λύτρων είναι ορατό στις οθόνες σύνδεσης και στις διεπαφές ιστού.
Οι αναλυτές της Recorded Future διαπίστωσαν ότι η παραλλαγή ESXi του RansomHub ransomware χρησιμοποιεί ένα αρχείο με το όνομα ‘/tmp/app.pid’ για να ελέγξει εάν εκτελείται ήδη κάτι. Εάν αυτό το αρχείο υπάρχει με process ID, το ransomware επιχειρεί να “σκοτώσει” αυτήν τη διαδικασία και εξέρχεται.
Ωστόσο, εάν το αρχείο περιέχει -1, το ransomware εισέρχεται σε infinite loop όπου προσπαθεί να “σκοτώσει” μια ανύπαρκτη διαδικασία, εξουδετερώνοντας ουσιαστικά τον εαυτό του.
Αυτό πρακτικά σημαίνει ότι οι οργανισμοί μπορούν να δημιουργήσουν ένα αρχείο /tmp/app.pid που περιέχει -1 για προστασία από την παραλλαγή RansomHub ESXi.
Δείτε επίσης: Η RansomHub πήρε την ευθύνη της κυβερνοεπίθεσης στην Frontier
Για την προστασία από επιθέσεις ransomware, οι επιχειρήσεις πρέπει να δημιουργούν τακτικά αντίγραφα ασφαλείας των δεδομένων τους και να διασφαλίζουν ότι αυτά τα αντίγραφα ασφαλείας αποθηκεύονται με ασφάλεια. Είναι επίσης σημαντικό να διατηρούνται τα συστήματα και το λογισμικό ενημερωμένα για να αποτρέπεται η εκμετάλλευση των τρωτών σημείων.
Επιπλέον, η εφαρμογή ισχυρών μέτρων ασφαλείας, όπως τείχη προστασίας, λογισμικό προστασίας από ιούς και συστήματα ανίχνευσης εισβολών μπορεί να βοηθήσει στον εντοπισμό και την πρόληψη επιθέσεων, όπως αυτές του RansomHub ransomware. Η τακτική εκπαίδευση των εργαζομένων σχετικά με τις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο μπορεί επίσης να συμβάλει σημαντικά στην πρόληψη αυτού του είδους των επιθέσεων.
Πηγή: www.bleepingcomputer.com
