Negli ultimi giorni è stata identificata una nuova variante del noto Ransomware HelloKitty. La nuova variante, in circolazione già da Marzo, interagisce con il software esxicli, il tool per la gestione delle macchine virtuali da riga di comando per ESXi. Il team MalwareHunter ha pubblicato le evidenze di comandi relativi ad esxicli associati ad una nuova variante del Ransomware:
Seems no one mentioned yet, so let me do it: the Linux version of HelloKitty ransomware was already using esxcli at least in early March for stopping VMs…@VK_Intel @demonslay335 pic.twitter.com/atSv0OO7YL
— MalwareHunterTeam (@malwrhunterteam) July 14, 2021
VMWare ESXi
ESXi è un bare-metal Hypervisor sviluppato e distribuito da VMWare per l’utenza enterprise. Il software si installa su qualsiasi server e permette di creare e controllare macchine virtuali con estrema facilità. Questo permette alle macchine virtuali di condividere lo stesso spazio di storage.
Questo prodotto è già stato preso di mira da molto tempo, e, sempre più velocemente, diversi gruppi criminali si sono adattati, sviluppando varianti di malware dedicate. Tra le nuove varianti di malware in circolazione che prendono di mira i server ESXi (conosciuti anche come server ESX), è stato individuato il ransomware HelloKitty, le cui funzionalità sono state arricchite con comandi di esxicli per l’arresto delle macchine virtuali.
Vulnerabilità ESXi
Diverse sono le vulnerabilità dei server ESXi che sono state scoperte negli anni. Le più pericolose riguardano l’esecuzione di codice da remoto (RCE), sia con privilegi utente che con privilegi amministrativi.
Quasi la metà delle CVE che hanno ricevuto una categorizzazione sono associate alla possibilità di eseguire codice. Questo è uno dei motivi principali sul perché i criminali si siano interessati ai sistemi ESXi.
Altro dato allarmante è rappresentato dal fatto che circa il 20% delle CVE ha uno score superiore a 60.
Tra le ultime CVE pubblicate, quelle a cui prestare maggiore attenzione sono la CVE-2021-21972 per il componente vSphere Client (HTML5) e la CVE-2020-3992 per il servizio OpenSLP, entrambe categorizzate come vulnerabilità RCE (Remote Command Execution).
Il Ransomware HelloKitty
Il ransomware HelloKitty, conosciuto anche come Kitty Ransomware, viene distribuito tramite e-mail di malspam o eseguito nel sistema a seguito di una iniziale compromissione perimetrale. I Threat Actor che distribuiscono questo specifico ransomware sono meno attivi rispetto ad altri gruppi (come nei casi REvil, Avaddon, DarkSide). Per questo motivo si hanno molte meno informazioni su questo gruppo e sulle loro modalità di compromissione ed estorsione.
Uno degli ultimi attacchi attribuito a questo gruppo criminale che ha suscitato maggiore attenzione è stato quello alla Software House CD Projekt Red:
Important Update pic.twitter.com/PCEuhAJosR
— CD PROJEKT RED (@CDPROJEKTRED) February 9, 2021
Il comportamento di HelloKitty è molto simile a quello degli altri ransomware: termina processi e servizi di Windows; cifra i file presenti nel sistema con una estensione propria (.kitty o .crypted); cancella le shadow copy dei dati cifrati per prevenire il restore degli stessi e rilascia una nota di riscatto sulle macchine colpite (read_me_lkdtt.txt o read_me_unlock.txt).
Di seguito viene mostrato un sample della nota di riscatto lasciata dal ransomware a seguito di un attacco alla CEMIG (Companhia Energética de Minas Gerais) nel 2020.
Hello CEMIG!
All your fileservers, HyperV infrastructure and backups have been encrypted!
Trying to decrypt or modify the files with programs other than our decryptor can lead to permanent loss of data!
The only way to recover your files is by cooperating with us.
To prove our seriousness, we can decrypt 1 non-critical file for free as proof. We have over 10 TB data of your private files, databases, personal data… etc, you have 24 hours to contact us, another way we publish this information in public channels, and this site will be unavailable.
Le nuove funzionalità che estendono HelloKitty permettono di identificare la presenza di un server ESXi e successivamente di interagire con il tool esxicli per spegnere le macchine virtuali del server. La procedura adottata prevede tentativi di spegnimento delle macchine in modalità soft, hard e forced.
La soluzione migliore per evitare che un attacco vada a buon fine è quella di monitorare costantemente i sistemi ESXi per poter reagire prontamente in caso di anomalie.
La raccomandazione rimane quella di eseguire backup dei sistemi e di effettuare attività specialistiche di Detection e Incident Response come quelle integrate nei servizi di difesa di Fortgale.