Οι ερευνητές παρατήρησαν μια νέα παραλλαγή Linux της οικογένειας ransomware TargetCompany που στοχεύει περιβάλλοντα VMware ESXi χρησιμοποιώντας ένα προσαρμοσμένο σενάριο κελύφους για την παράδοση και την εκτέλεση ωφέλιμων φορτίων.
Γνωστή και ως Mallox, FARGO και Tohnichi, η λειτουργία ransomware TargetCompany εμφανίστηκε τον Ιούνιο του 2021 και έχει επικεντρωθεί σε επιθέσεις βάσεων δεδομένων (MySQL, Oracle, SQL Server) εναντίον οργανισμών κυρίως στην Ταϊβάν, τη Νότια Κορέα, την Ταϊλάνδη και την Ινδία.
Τον Φεβρουάριο του 2022, εταιρεία προστασίας από ιούς ανακοίνωσε η Avast τη διαθεσιμότητα ενός δωρεάν εργαλείου αποκρυπτογράφησης που κάλυπτε παραλλαγές που κυκλοφόρησαν μέχρι εκείνη την ημερομηνία. Μέχρι τον Σεπτέμβριο, ωστόσο, η συμμορία επανήλθε στην τακτική δραστηριότητα στόχευση ευάλωτων διακομιστών Microsoft SQL και απείλησε τα θύματα με διαρροή κλεμμένων δεδομένων μέσω Telegram.
Νέα παραλλαγή Linux
Σε μια σημερινή αναφορά, η εταιρεία κυβερνοασφάλειας Trend Micro λέει ότι η νέα παραλλαγή Linux για το ransomware TargetCompany διασφαλίζει ότι έχει δικαιώματα διαχειριστή πριν συνεχίσει την κακόβουλη ρουτίνα.
Για τη λήψη και την εκτέλεση του ωφέλιμου φορτίου ransomware, ο παράγοντας απειλής χρησιμοποιεί ένα προσαρμοσμένο σενάριο που μπορεί επίσης να διεισδύσει δεδομένα σε δύο ξεχωριστούς διακομιστές, πιθανόν για πλεονασμό σε περίπτωση τεχνικών ζητημάτων με το μηχάνημα ή σε περίπτωση παραβίασης.
Μόλις βρεθεί στο σύστημα προορισμού, το ωφέλιμο φορτίο ελέγχει εάν εκτελείται σε περιβάλλον VMware ESXi εκτελώντας την εντολή “uname” και αναζητώντας “vmkernel”.
Στη συνέχεια, δημιουργείται ένα αρχείο “TargetInfo.txt” και αποστέλλεται στον διακομιστή εντολών και ελέγχου (C2). Περιέχει πληροφορίες θυμάτων όπως όνομα κεντρικού υπολογιστή, διεύθυνση IP, στοιχεία λειτουργικού συστήματος, συνδεδεμένους χρήστες και δικαιώματα, μοναδικά αναγνωριστικά και λεπτομέρειες σχετικά με τα κρυπτογραφημένα αρχεία και καταλόγους.
Το ransomware θα κρυπτογραφήσει αρχεία που έχουν επεκτάσεις που σχετίζονται με VM (vmdk, vmem, vswp, vmx, vmsn, nvram), προσθέτοντας την επέκταση “.locked” στα αρχεία που προκύπτουν.
Τέλος, απορρίπτεται ένα σημείωμα λύτρων με το όνομα “HOW TO DECRYPT.txt”, το οποίο περιέχει οδηγίες για το θύμα σχετικά με τον τρόπο πληρωμής των λύτρων και ανάκτησης ενός έγκυρου κλειδιού αποκρυπτογράφησης.
Μετά την ολοκλήρωση όλων των εργασιών, το σενάριο του κελύφους διαγράφει το ωφέλιμο φορτίο χρησιμοποιώντας την εντολή ‘rm -f x’, ώστε όλα τα ίχνη που μπορούν να χρησιμοποιηθούν σε έρευνες μετά το συμβάν να διαγραφούν από τα επηρεαζόμενα μηχανήματα.
Οι αναλυτές της Trend Micro αποδίδουν τις επιθέσεις που αναπτύσσουν τη νέα παραλλαγή Linux του TargetCompany ransomware σε μια θυγατρική που ονομάζεται “vampire”, η οποία είναι πιθανώς η ίδια σε ένα Έκθεση Sekoia τον προηγούμενο μήνα.
Οι διευθύνσεις IP που χρησιμοποιήθηκαν για την παράδοση του ωφέλιμου φορτίου και την αποδοχή του αρχείου κειμένου με τις πληροφορίες του θύματος εντοπίστηκαν σε έναν πάροχο ISP στην Κίνα. Ωστόσο, αυτό δεν αρκεί για τον ακριβή προσδιορισμό της προέλευσης του επιτιθέμενου.
Συνήθως, το TargetCompany ransomware επικεντρώθηκε σε μηχανές Windows, αλλά η κυκλοφορία της παραλλαγής Linux και η στροφή στην κρυπτογράφηση μηχανών VMWare ESXi δείχνει την εξέλιξη της λειτουργίας.
Trend Micro’s κανω ΑΝΑΦΟΡΑ περιλαμβάνει ένα σύνολο προτάσεων όπως η ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), η δημιουργία αντιγράφων ασφαλείας και η ενημέρωση των συστημάτων.
Οι ερευνητές παρέχουν μια λίστα δεικτών συμβιβασμού με κατακερματισμούς για την έκδοση ransomware Linux, το προσαρμοσμένο σενάριο του κελύφους και δείγματα που σχετίζονται με τη θυγατρική «βαμπίρ».