{"id":2932,"date":"2021-07-19T14:56:23","date_gmt":"2021-07-19T12:56:23","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=2932"},"modified":"2021-07-19T14:56:23","modified_gmt":"2021-07-19T12:56:23","slug":"nuova-minaccia-ransomware-su-server-esxi-linux-hellokitty","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/nuova-minaccia-ransomware-su-server-esxi-linux-hellokitty\/","title":{"rendered":"Nuova minaccia ransomware su server ESXi Linux: HelloKitty"},"content":{"rendered":"\n

Negli ultimi giorni \u00e8 stata identificata una nuova variante del noto Ransomware HelloKitty<\/strong>. La nuova variante, in circolazione gi\u00e0 da Marzo, interagisce con il software esxicli<\/strong>, il tool per la gestione delle macchine virtuali da riga di comando per ESXi<\/strong>. Il team MalwareHunter<\/strong> ha pubblicato le evidenze di comandi relativi ad esxicli associati ad una nuova variante del Ransomware:<\/p>\n\n\n\n

Seems no one mentioned yet, so let me do it: the Linux version of HelloKitty ransomware was already using esxcli at least in early March for stopping VMs…@VK_Intel<\/a> @demonslay335<\/a> pic.twitter.com\/atSv0OO7YL<\/a><\/p>— MalwareHunterTeam (@malwrhunterteam) July 14, 2021<\/a><\/blockquote> \n\n\n\n

VMWare ESXi<\/h2>\n\n\n\n

ESXi \u00e8 un bare-metal Hypervisor<\/strong> sviluppato e distribuito da VMWare per l’utenza enterprise. Il software si installa su qualsiasi server e permette di creare e controllare macchine virtuali con estrema facilit\u00e0. Questo permette alle macchine virtuali di condividere lo stesso spazio di storage.<\/p>\n

Questo prodotto \u00e8 gi\u00e0 stato preso di mira da molto tempo, e, sempre pi\u00f9 velocemente, diversi gruppi criminali si sono adattati, sviluppando varianti di malware dedicate. Tra le nuove varianti di malware in circolazione che prendono di mira i server ESXi (conosciuti anche come server ESX), \u00e8 stato individuato il <\/span>ransomware HelloKitty<\/strong>, le cui funzionalit\u00e0 sono state arricchite con comandi di <\/span>esxicli<\/strong> per l’arresto delle macchine virtuali.<\/span><\/p>\n\n\n\n

Vulnerabilit\u00e0 ESXi<\/h2>\n\n\n\n

Diverse sono le vulnerabilit\u00e0 dei server ESXi che sono state scoperte negli anni. Le pi\u00f9 pericolose riguardano l’esecuzione di codice da remoto (RCE<\/strong>), sia con privilegi utente che con privilegi amministrativi.<\/p>\n\n\n\n

\"\"<\/figure>
\n

Quasi la met\u00e0 delle CVE<\/strong> che hanno ricevuto una categorizzazione sono associate alla possibilit\u00e0 di eseguire codice. Questo \u00e8 uno dei motivi principali sul perch\u00e9 i criminali si siano interessati ai sistemi ESXi<\/strong>.<\/p>\n<\/div><\/div>\n\n\n\n

\"\"<\/figure>
\n

Altro dato allarmante \u00e8 rappresentato dal fatto che circa il 20% <\/strong>delle CVE ha uno score superiore a 60.<\/strong><\/p>\n<\/div><\/div>\n\n\n\n

Tra le ultime CVE pubblicate, quelle a cui prestare maggiore attenzione sono la CVE-2021-21972<\/strong> per il componente vSphere Client (HTML5)<\/strong> e la CVE-2020-3992<\/strong> per il servizio OpenSLP<\/strong>, entrambe categorizzate come vulnerabilit\u00e0 RCE (Remote Command Execution).<\/strong><\/p>\n\n\n\n

Il Ransomware HelloKitty<\/h2>\n\n\n\n

Il ransomware HelloKitty<\/strong>, conosciuto anche come Kitty Ransomware<\/strong>, viene distribuito tramite e-mail di malspam<\/em> <\/strong>o eseguito <\/b>nel sistema a seguito di una iniziale compromissione perimetrale. I Threat Actor<\/strong> che distribuiscono questo specifico ransomware<\/em> sono meno attivi rispetto ad altri gruppi (come nei casi REvil<\/strong>, Avaddon<\/strong>, DarkSide<\/strong>). Per questo motivo si hanno molte meno informazioni su questo gruppo e sulle loro modalit\u00e0 di compromissione<\/strong> ed estorsione<\/strong>.<\/p>\n\n\n\n

Uno degli ultimi attacchi attribuito a questo gruppo criminale che ha suscitato maggiore attenzione \u00e8 stato quello alla Software House CD Projekt Red<\/strong>:<\/p>\n\n\n\n

Important Update pic.twitter.com\/PCEuhAJosR<\/a><\/p>— CD PROJEKT RED (@CDPROJEKTRED) February 9, 2021<\/a><\/blockquote> \n\n\n\n

Il comportamento di HelloKitty \u00e8 molto simile a quello degli altri ransomware: termina processi e servizi di Windows; cifra i file presenti nel sistema con una estensione propria (.kitty<\/strong> o .crypted<\/strong>); cancella le shadow copy<\/strong><\/em> dei dati cifrati per prevenire il restore<\/em> degli stessi e rilascia una nota di riscatto sulle macchine colpite (read_me_lkdtt.txt<\/strong> o read_me_unlock.txt<\/strong>).<\/p>\n\n\n\n

Di seguito viene mostrato un sample della nota di riscatto lasciata dal ransomware a seguito di un attacco alla CEMIG (Companhia Energ\u00e9tica de Minas Gerais) nel 2020.<\/p>\n\n\n\n

Hello CEMIG!\n\nAll your fileservers, HyperV infrastructure and backups have been encrypted!\n\nTrying to decrypt or modify the files with programs other than our decryptor can lead to permanent loss of data!\n\nThe only way to recover your files is by cooperating with us.\n\nTo prove our seriousness, we can decrypt 1 non-critical file for free as proof. We have over 10 TB data of your private files, databases, personal data\u2026 etc, you have 24 hours to contact us, another way we publish this information in public channels, and this site will be unavailable.<\/code><\/pre>\n\n\n\n
Le nuove funzionalit\u00e0 che estendono HelloKitty permettono di identificare la presenza di un server ESXi e successivamente di interagire con il tool esxicli<\/strong> per spegnere le macchine virtuali del server. La procedura adottata prevede tentativi di spegnimento delle macchine in modalit\u00e0 soft<\/strong>, hard<\/strong> e forced<\/strong>.<\/p>\n\n\n\n
La soluzione migliore per evitare che un attacco vada a buon fine \u00e8 quella di monitorare costantemente i sistemi ESXi per poter reagire prontamente in caso di anomalie.<\/p>\n\n\n\n
La raccomandazione rimane quella di eseguire backup dei sistemi e di effettuare attivit\u00e0 specialistiche di Detection<\/strong> e Incident Response <\/strong>come quelle integrate nei servizi di difesa di Fortgale.<\/p>\n","protected":false},"excerpt":{"rendered":"
Seems no one mentioned yet, so let me do it: the Linux version of HelloKitty ransomware was already using esxcli at least in early March for stopping VMs…@VK_Intel @demonslay335 pic.twitter.com\/atSv0OO7YL — MalwareHunterTeam (@malwrhunterteam) July 14, 2021 VMWare ESXi Vulnerabilit\u00e0 ESXi Il Ransomware HelloKitty Important Update pic.twitter.com\/PCEuhAJosR — CD PROJEKT RED (@CDPROJEKTRED) February 9, 2021<\/p>\n","protected":false},"author":1,"featured_media":1618,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[129,168],"class_list":["post-2932","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security-news","tag-esx","tag-hellokitty"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2932","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=2932"}],"version-history":[{"count":0,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2932\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=2932"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=2932"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=2932"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}