L’opération RansomHub ransomware utilise un crypteur Linux spécialement conçu pour crypter les environnements VMware ESXi dans les attaques d’entreprise.
RansomHub est une opération de ransomware en tant que service (RaaS) lancée en février 2024, avec des chevauchements de code et des associations de membres avec ALPHV/BlackCat et Knight ransomware, ayant fait plus de 45 victimes dans 18 pays.
L’existence d’un cryptographe RansomHub Windows et Linux a été confirmée depuis début mai. Recorded Future now rapporte que le groupe de menaces dispose également d’une variante ESXi spécialisée dans son arsenal, qu’il a vue pour la première fois en avril 2024.
Contrairement aux versions Windows et Linux de RansomHub qui sont écrites en Go, la version ESXi est un programme C++ probablement dérivé du ransomware Knight, aujourd’hui disparu.
Fait intéressant, Recorded Future a également trouvé un bogue simple dans la variante ESXi que les défenseurs peuvent exploiter pour l’envoyer dans une boucle sans fin et échapper au cryptage.
Chiffreur ESXi de RansomHub
L’entreprise a adopté l’utilisation de machines virtuelles pour héberger ses serveurs, car elles permettent une meilleure gestion des ressources CPU, mémoire et stockage.
En raison de cette adoption accrue, presque tous les gangs de ransomwares ciblant les entreprises ont créé des chiffrements VMware ESXi dédiés pour cibler ces serveurs.
RansomHub ne fait pas exception, avec leur encryptor ESXi prenant en charge diverses options de ligne de commande pour définir un délai d’exécution, spécifier quelles machines virtuelles doivent être exclues du chiffrement, quels chemins de répertoire cibler, etc.
Il propose également des commandes et des options spécifiques à ESXi, telles que « vim-cmd vmsvc / getallvms » et « vim-cmd vmsvc / snapshot ».supprimez tout » pour la suppression des instantanés et « arrêt du processus de la machine virtuelle esxcli » pour l’arrêt des machines virtuelles.
Le chiffreur désactive également syslog et d’autres services critiques pour entraver la journalisation et peut être configuré pour se supprimer après l’exécution pour éviter la détection et l’analyse.
Le schéma de cryptage utilise ChaCha20 avec Curve25519 pour générer des clés publiques et privées, et crypte les fichiers liés à ESXi comme ‘.vmdk, ».vmx, » « .vmsn, ‘ seulement partiellement (cryptage intermittent) pour des performances plus rapides.
Plus précisément, il ne crypte que le premier mégaoctet de fichiers de plus de 1 Mo, répétant les blocs de cryptage tous les 11 Mo. Enfin, il ajoute un pied de page de 113 octets à chaque fichier crypté contenant la clé publique de la victime, ChaCha20 nonce, et le nombre de morceaux.
La demande de rançon est écrite dans ‘/etc/motd’ (Message du jour) et ‘/usr/lib/vmware/hostd/docroot/ui/index.html ‘ pour le rendre visible sur les écrans de connexion et les interfaces Web.
Mettre le Centre de rançon dans une boucle sans fin
Les futurs analystes enregistrés ont constaté que la variante ESXi utilise un fichier nommé ‘/tmp / app.pid ‘ pour vérifier si une instance est déjà en cours d’exécution.
Si ce fichier existe avec un identifiant de processus, le ransomware tente de tuer ce processus et se ferme.
Cependant, si le fichier contient « -1 », le ransomware entre dans une boucle infinie où il tente de tuer un processus inexistant, se neutralisant efficacement.
Cela signifie pratiquement que les organisations peuvent créer un /tmp / app.fichier pid contenant ‘ -1 ‘ pour se protéger contre la variante RansomHub ESXi. C’est-à-dire au moins jusqu’à ce que les opérateurs RaaS corrigent le bogue et déploient des versions mises à jour pour que leurs affiliés puissent les utiliser dans des attaques.