Опасный троян-шифровальщик научился работать в Linux и теперь бьет по средам виртуализации VMware
Аналитики Trend Micro нашли Linux-разновидность шифровальщика TargetCompany, ранее атаковавшие базы данных в средах под Windows. Новая версия доставляется довольно хитрым способом.
Возвращение старого знакомого, который и не уходил
Эксперты компании Trend Micro выявили новый вариант шифровальщика TargetCompany, на этот раз нацеленный на системы под управлением Linux. С его помощью злоумышленники активно атакуют виртуализационные среды VMware ESXi, используя специальный шелл-скрипт для внедрения и запуска вредоносной нагрузки.
TargetCompany известен также под названиями Mallox, FARGO и Tohnichi. Его обнаружение датируется июнем 2021 г. В основном он известен как шифровальщик под Windows. Его успешно использовали против баз данных MySQL, Oracle и SQL Server, принадлежавших организациям в Тайване, Южной Корее, Таиланде и Индии.
В феврале 2022 г. антивирусный вендор Avast объявил о создании бесплатного инструмента для дешифровки файлов, заблокированных TargetCompany. Группировка, использовавшая шифровальщик в атаках на время затихла, но уже к сентябрю возобновила регулярные атаки. В основном их жертвами становились уязвимые сервера Microsoft SQL.
Недавно обнаруженный Linux-вариант, в свою очередь, атакует среды VMware, шифруя, в частности, все файлы с расширениями vmdk, vmem, vswp, vmx, vmsn и nvram и добавляя собственное расширение .locked.
«Успешная атака на среду виртуализации может приводить к остановке процессов у всех клиентов, кто этой средой пользуется в данный момент», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. По его словам, операторы виртуального хоста в таком случае оказываются под колоссальным нажимом, поскольку не только они теряют время и средства. «Это тот самый случай, когда предупредить легче, чем исправить последствия», - заключил Михаил Зайцев.
Странный способ
Эксперты Trend Micro отметили, что злоумышленники на этот раз используют новый приём: для обхода защитных средств используется скрипт PowerShell и маскирующие упаковщики (Fully Undetectable Packers - FUD).
Каким именно образом злоумышленники доставляют этот скрипт в систему, в публикации Trend Micro ничего не говорится. Судя по схеме из материала, к началу атаки злоумышленники уже имеют первоначальный доступ - через уязвимые, взломанные серверы SQL.
После первичной загрузки, скрипт PowerShell подгружает и запускает основную вредоносную нагрузку; та производит проверку среды, в которой она функционирует, и пересылает на контрольный сервер информацию о наименовании хоста, IP-адресе, операционной системе, а также о подключённых в данный момент пользователях и их привилегиях, уникальные идентификаторы - и подробности о шифруемых файлах и каталогах.
Затем запускается процесс шифрования файлов, и генерируется требование о выкупе.
По окончании всех этих процедур вредонос пытается удалить любые следы своего присутствия в системе, чтобы затруднить последующее расследование.
По мнению аналитиков Trend Micro, атаками на Linux-системы занимается один их партнёров основного оператора TargetCompany - группировка под названием Vampire.
Ранее та же группа осуществляла регулярные атаки на базы данных MS SQL.
В исследовании Trend Micro указывается, что IP-адреса, связанные с доставкой вредоноса, относятся к сетям интернет-провайдера в Китае, однако для однозначной атрибуции этого мало.
Необходимо отметить также, что нынешние итерации TargetCompany осуществляют также вывод конфиденциальных данных на серверы злоумышленников. Операторы шифровальщика впоследствии дополнительно шантажируют жертв публикацией этих сведений в Telegram.