Ransomware attackiert VMware

Ein neuer Stamm von Python-basierter Malware wurde in einer Kampagne eingesetzt, um die Verschlüsselung eines Firmensystems in weniger als drei Stunden zu erreichen. Der Angriff, einer der schnellsten, die von Sophos-Forschern aufgezeichnet wurden, wurde von Hackern durchgeführt, die die ESXi-Plattform gezielt angriffen, um die virtuellen Maschinen des Opfers zu verschlüsseln.

Am Dienstag erklärte Sophos, dass die in Python geschriebene Malware eingesetzt wurde, zehn Minuten nachdem es den Bedrohungsakteuren gelungen war, in ein TeamViewer-Konto der Opferorganisation einzudringen.

TeamViewer ist eine Kontroll- und Zugriffsplattform, die sowohl von Privatpersonen als auch von Unternehmen genutzt werden kann, um PCs und mobile Geräte aus der Ferne zu verwalten und zu steuern.

Da die Software auf einem Rechner installiert war, der von einer Person genutzt wurde, die auch über die Zugangsdaten eines Domain-Administrators verfügte, dauerte es nur zehn Minuten – von 12.30 Uhr bis 12.40 Uhr an einem Sonntag – bis die Angreifer einen verwundbaren ESXi-Server gefunden hatten, der für die nächste Phase des Angriffs geeignet war.

VMware ESXi ist ein Bare-Metal-Hypervisor für Unternehmen, der von vSphere verwendet wird, einem System, das sowohl Container als auch virtuelle Maschinen (VMs) verwalten kann.

Den Forschern zufolge war der ESXi-Server wahrscheinlich aufgrund einer aktiven Shell anfällig für Angriffe, was zur Installation von Bitvise führte, einer SSH-Software, die – zumindest rechtmäßig – für die Verwaltung von Windows-Servern verwendet wird.

In diesem Fall nutzten die Angreifer Bitvise, um auf ESXi und die von aktiven VMs verwendeten virtuellen Festplattendateien zuzugreifen.

„ESXi-Server verfügen über einen integrierten SSH-Dienst namens ESXi Shell, der von Administratoren aktiviert werden kann, aber normalerweise standardmäßig deaktiviert ist“, so Sophos. „Das IT-Personal dieses Unternehmens war es gewohnt, die ESXi Shell zur Verwaltung des Servers zu verwenden und hatte die Shell in den Monaten vor dem Angriff mehrfach aktiviert und deaktiviert. Das letzte Mal, als sie die Shell aktivierten, versäumten sie es jedoch, sie anschließend zu deaktivieren.“

Nach drei Stunden waren die Cyberangreifer in der Lage, ihre Python-Ransomware zu installieren und die virtuellen Festplatten zu verschlüsseln. Das Skript, mit dem die VM-Einrichtung des Unternehmens gekapert wurde, war nur 6 KB lang, enthielt aber Variablen, darunter verschiedene Sätze von Verschlüsselungsschlüsseln, E-Mail-Adressen und Optionen zur Anpassung des Suffix, das bei einem Ransomware-basierten Angriff zur Verschlüsselung von Dateien verwendet wird.

Die Malware erstellte eine Karte des Laufwerks, inventarisierte die VM-Namen und schaltete dann jede virtuelle Maschine aus. Sobald sie alle ausgeschaltet waren, begann die vollständige Verschlüsselung der Datenbank. OpenSSL wurde dann als Waffe eingesetzt, um sie alle schnell zu verschlüsseln, indem ein Befehl an ein Protokoll der Namen der einzelnen VMs auf dem Hypervisor gesendet wurde.

Sobald die Verschlüsselung abgeschlossen war, wurden die Aufklärungsdateien mit dem Wort f*ck überschrieben und dann gelöscht.  Ransomware-Gruppen wie DarkSide – verantwortlich für den Colonial Pipeline-Angriff – und REvil sind dafür bekannt, dass sie diese Technik verwenden. Sophos sagt, dass die schiere Geschwindigkeit dieses Falles IT-Administratoren daran erinnern sollte, dass Sicherheitsstandards sowohl auf VM-Plattformen als auch auf Standard-Unternehmensnetzwerken eingehalten werden müssen.

„Python ist eine Programmiersprache, die üblicherweise nicht für Ransomware verwendet wird“, kommentiert Andrew Brandt, Principal Researcher bei Sophos. „Python ist jedoch auf Linux-basierten Systemen wie ESXi vorinstalliert, so dass Python-basierte Angriffe auf diesen Systemen möglich sind. ESXi-Server sind ein attraktives Ziel für Ransomware-Angreifer, da sie mehrere virtuelle Maschinen gleichzeitig angreifen können, auf denen geschäftskritische Anwendungen oder Dienste ausgeführt werden können.