Dalam beberapa bulan terakhir, kami telah mengamati peningkatan ransomware yang menargetkan server ESXi dalam telemetri kami.
Karena virtualisasi merupakan fondasi dari setiap penyebaran sumber daya komputasi dan penyimpanan berskala besar, tidak mengherankan bahwa pelaku ransomware kini telah memperluas target mereka hingga mencakup server virtualisasi: dengan satu serangan saja, seluruh pusat data dapat dimatikan dan memengaruhi penyimpanan virtual yang digunakan bersama di antara beban kerja, yang mengakibatkan dampak yang menghancurkan.
Babuk
Ransomware yang disebut Babuk muncul pada awal tahun 2021. Pembuatnya, yang bocor ke publik akhir tahun itu, digunakan untuk membuat executable Windows dan Linux, dan menyertakan encryptor VMware ESXi. Kode sumber lengkap ransomware ini dipublikasikan oleh pembuatnya di salah satu forum peretas akhir tahun itu.
Satu-satunya parameter yang diharapkan oleh enkripsi ESXi selama eksekusi adalah jalur ke direktori target. Ia memindai direktori untuk keberadaan file dengan ekstensi .log, .vmdk, .vmem, .vswp, dan .vmsn. Setelah menemukannya, ia mengenkripsinya dengan cipher aliran Sosemanuk.
Babuk menjatuhkan berkas teks “Cara Mengembalikan File Anda.txt” dengan catatan tebusan di setiap folder yang berisi berkas terenkripsi. Menariknya, Babuk tidak mematikan mesin virtual ESXi sebelum mengenkripsi berkasnya. Hal ini dapat menyebabkan kerusakan berkas atau menyebabkan ketidakmampuan mendekripsi berkas.
AvosLocker, yang secara khusus menargetkan mesin Windows, ditemukan pada tahun 2021. Setahun kemudian, pada awal tahun 2022, varian Linux-nya, yang menargetkan instans VMware ESXi, ditemukan . Seperti banyak keluarga ransomware lainnya, model penjualan AvosLocker adalah Ransomware-as-a-Service (RaaS).
Jika direktori target untuk enkripsi ESXi adalah /vmfs/volumes, maka alat tersebut hanya mencari file dengan ekstensi .log, .vmdk, .vmem, .vswp, .vmsn. Jika tidak, alat tersebut akan mengenkripsi semua file dalam direktori yang diberikan secara rekursif. Sebelum enkripsi file dimulai, AvosLocker akan mematikan mesin virtual ESXi menggunakan utilitas baris perintah esxcli.
AvosLocker menggunakan kombinasi stream cipher Salsa20 dan RSA. Setelah enkripsi selesai, ia menambahkan ekstensi .avoslinux atau .avos2 ke nama file. Di akhir, ia menjatuhkan file teks “README_FOR_RESTORE”, yang berisi catatan tebusan.
BlackCat, yang juga dikenal sebagai ALPHV, adalah ransomware pertama yang dikenal luas yang ditulis dalam bahasa pemrograman Rust. Kemunculannya pada akhir tahun 2021 ditandai oleh kemampuannya untuk menargetkan banyak platform, termasuk VMware ESXi. BlackCat beroperasi di bawah model Ransomware-as-a-Service (RaaS).
Seperti banyak keluarga ransomware lainnya, untuk enkripsi BlackCat telah memilih kombinasi dari stream cipher Salsa20 dan RSA. Sebelum memulai enkripsi, BlackCat mematikan mesin virtual dengan utilitas baris perintah esxcli.
Alat ini menargetkan file dengan semua ekstensi. Ekstensi yang ditambahkan ransomware ke nama file terenkripsi tampak seperti kombinasi acak karakter alfabet dan angka dan selalu spesifik untuk sistem. Contoh ekstensinya adalah .dkrpx75, .kh1ftzx, dan .wpzlbji. Setelah enkripsi, alat ini menjatuhkan file teks “RECOVER- XXXXXXX -FILES.txt” dengan catatan tebusan (“XXXXXXX” adalah ekstensi yang ditambahkan ke file terenkripsi).
Kelompok ransomware Hive, yang bekerja dengan model RaaS, ditemukan pada Juni 2021. Empat bulan kemudian, pada Oktober 2021, varian pertama yang menargetkan VMware ESXi, yang ditulis dalam Golang, ditemukan. Menurut ESET , sampel tersebut tidak dapat berjalan dengan baik. Mengikuti tren BlackCat, sekitar Maret 2022 , penulis Hive memindahkan produk mereka ke bahasa pemrograman Rust.
Ransomware Luna muncul pada bulan Juli 2022. Tidak seperti pesaingnya, ancaman ini menargetkan instans VMware ESXi sejak hari pertama beroperasi. Pelaku ancaman Luna memilih bahasa pemrograman lintas platform Rust untuk mengembangkan komponen ransomware-nya. Mirip dengan ancaman ransomware lainnya, Luna beroperasi sebagai RaaS.
Enkripsi ESXi menargetkan semua folder dan file kecuali beberapa yang hanya dapat ditemukan di Windows: OpenServer, Windows, Program Files, Recycle.Bin, ProgramData, AppData, All Users; .ini, .dll, .exe, .lnk. Untuk enkripsi file, ransomware ini menggunakan kombinasi X25519 dan AES. Tidak seperti kebanyakan pesaingnya, Luna tidak mematikan mesin virtual, yang dapat menyebabkan kerusakan file atau ketidakmampuan mendekripsi file yang dienkripsi.
Ketika berkas dienkripsi, Luna menambahkan ekstensi .Luna ke nama berkas dan kemudian membuat berkas teks “readme-Luna.txt” dengan catatan tebusan.
Sumber : https://blogs.vmware.com/security/2022/09/esxi-targeting-ransomware-the-threats-that-are-after-your-virtual-machines-part-1.html