Recentemente, è emerso un campione di crittografo per VMware ESXi utilizzato dalla cyber gang del ransomware Qilin, rivelando un livello di sofisticazione senza precedenti.
Indice degli argomenti
VMware ancora sotto minaccia: allerta per il ransomware Qilin
L’adozione diffusa di macchine virtuali nelle aziende per ospitare i propri server ha portato al proliferare di crittografi VMware ESXi dedicati e progettati appositamente per colpire tali server. Qilin, una banda di ransomware ben nota, si distingue creando i propri crittografi Linux, con un recente focus sulle macchine virtuali.
Il ricercatore di sicurezza MalwareHunterTeam ha recentemente scoperto un software di crittografia Linux ELF64 creato da Qilin, concentrandosi sulla crittografia delle macchine virtuali e sulla rimozione delle loro istantanee. Questo crittografo è dotato di una configurazione incorporata che specifica estensioni di file crittografate, processi da terminare e cartelle da crittografare o escludere.
Ciò che distingue il crittografo di Qilin è la sua estrema personalizzazione attraverso numerosi argomenti della riga di comando. Questi consentono di regolare le opzioni di configurazione, eseguire una modalità di debug, eseguire prove senza crittografare file e personalizzare il processo di crittografia delle macchine virtuali e dei relativi snapshot.
È anche possibile creare un elenco di macchine virtuali escluse dalla crittografia.
Durante l’esecuzione, l’attore della minaccia deve specificare la directory iniziale e una password legata al crittografo. Il ransomware determinerà quindi se è in esecuzione su un server Linux, FreeBSD o VMware ESXi. Nel caso di VMware ESXi, eseguirà comandi esxcli ed esxcfg-advcfg, rivelando un livello di complessità non visto in precedenza.
Melissa Palmer, esperta di VMware, ha suggerito che questi comandi potrebbero essere stati copiati dai bollettini di supporto di VMware per risolvere un noto bug di esaurimento dell’heap di memoria VMware, indicando un approccio avanzato nella progettazione del malware.
Una minaccia crescente
L’operazione ransomware Qilin, inizialmente lanciata come “Agenda” nell’agosto 2022 e rinominata poi a settembre, continua a rappresentare una minaccia attiva. Operando con una strategia di doppia estorsione, Qilin ruba dati e crittografa file, utilizzando queste informazioni come leva per costringere le aziende a pagare un riscatto.
Con un aumento dell’attività registrato verso la fine del 2023, la comunità della sicurezza informatica è ora in allerta massima, cercando di sviluppare contromisure per proteggere le aziende da questa crescente minaccia di ransomware sofisticato.
