Uma amostra do encriptador VMware ESXi do grupo de ransomware Qilin foi encontrada e pode ser um dos encriptadores Linux mais avançados e personalizáveis já vistos até hoje.
As empresas estão migrando cada vez mais para as máquinas virtuais para hospedar seus servidores, pois permitem um melhor uso dos recursos de CPU, memória e armazenamento disponíveis.
Devido a esta adoção, quase todas as gangues de ransomware criaram encriptadores VMware ESXi dedicados para atingir esses servidores.
Embora muitas operações de ransomware utilizem o código-fonte vazado do Babuk para criar seus encriptadores, algumas, como a Qilin, criam seus próprios encriptadores para atingir servidores Linux.
No mês passado, o pesquisador de segurança MalwareHunterTeam encontrou um encriptador Linux ELF64 para a gangue de ransomware Qilin e o compartilhou com a BleepingComputer para análise.
Embora o encriptador possa ser usado em servidores Linux, FreeBSD e VMware ESXi, ele se concentra fortemente na criptografia de máquinas virtuais e na exclusão de seus snapshots.
O encriptador do Qilin é construído com uma configuração incorporada especificando a extensão para arquivos criptografados, os processos a serem terminados, os arquivos a serem criptografados ou excluídos e as pastas a serem criptografadas ou excluídas.
No entanto, também inclui vários argumentos de linha de comando que permitem extensa personalização dessas opções de configuração e como os arquivos são criptografados em um servidor.
Estes argumentos de linha de comando incluem opções para habilitar um modo de depuração, fazer uma execução de teste sem criptografar quaisquer arquivos ou personalizar como as máquinas virtuais e seus snapshots são criptografados.
A lista completa de opções de linha de comando está listada abaixo:
Na amostra analisada pela BleepingComputer.com, o encriptador está configurado por padrão com as seguintes exclusões e critérios de criação:
Processos que não devem ser finalizados:
Diretórios para excluir da criptografia:
Arquivos para excluir da criptografia:
Extensões de arquivo para excluir da criptografia:
Diretórios para selecionar para criptografia:
Arquivos para selecionar para criptografia:
É possível configurar uma lista de máquinas virtuais que não devem ser criptografadas.
Ao executar o encriptador, um ator de ameaça deve especificar o diretório inicial para criptografia e uma senha específica vinculada ao encriptador.
Quando executado, o ransomware determinará se está rodando em um servidor Linux, FreeBSD ou VMware ESXi.
Se detectar o VMware ESXi, executará os seguintes comandos esxcli e esxcfg-advcfg, que não vimos em outros encriptadores ESXi no passado.
A especialista em VMware Melissa Palmer disse ao BleepingComputer que esses comandos foram provavelmente copiados dos boletins de suporte da VMware para resolver um conhecido bug de exaustão de memória heap do VMware e aumentar o desempenho ao executar comandos ESXi no servidor.
Antes de criptografar quaisquer máquinas virtuais detectadas, o ransomware primeiro encerrará todas as VMs e excluirá seus snapshots usando os seguintes comandos:
Todos os arquivos alvo então serão criptografados e terão a extensão configurada anexada ao nome do arquivo.
Em cada pasta, uma nota de resgate chamada [extensão]_RECOVER.txt será criada contendo links para o site de negociação Tor da gangue de ransomware e as credenciais de login necessárias para acessar a página de chat da vítima.
A BleepingComputer já viu exigências de resgate que variam de US $ 25.000 a milhões de dólares.
A operação de ransomware Qilin foi inicialmente lançada como "Agenda" em agosto de 2022.
No entanto, em setembro, foi rebatizada com o nome Qilin, nome que continua a operar até hoje.
Como outras operações de ransomware direcionadas a empresas, a Qilin irá invadir as redes de uma empresa e roubar dados à medida que se espalha lateralmente para outros sistemas.
Após coletar dados e ganhar credenciais de administrador do servidor, os atores de ameaça implantam o ransomware para criptografar todos os dispositivos na rede.
Os dados roubados e os arquivos criptografados são então usados como alavancas em ataques de extorsão dupla para coagir a empresa a pagar uma demanda de resgate.
Desde o seu lançamento, a operação de ransomware tem tido uma corrente constante de vítimas, mas viu aumentar a atividade no final de 2023.
Um ataque recente da Qilin foi contra a gigante de peças automotivas Yanfeng.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...