A TargetCompany ransomware linuxos verziója a VMware ESXi-t célozza meg | EatchbQ

A TargetCompany ransomware linuxos verziója a VMware ESXi-t célozza meg

A kutatók a TargetCompany ransomware család új Linux-változatát figyelték meg, amely a VMware ESXi környezeteket célozza meg egyéni shell-szkript segítségével a hasznos terhek kézbesítésére és végrehajtására.

A Mallox, FARGO és Tohnichi néven is ismert TargetCompany zsarolóvírus-művelet 2021 júniusában indult, és elsősorban tajvani, dél-koreai, thaiföldi és indiai szervezetek elleni adatbázis-támadásokra összpontosított (MySQL, Oracle, SQL Server).


2022 februárjában az Avast víruskereső cég bejelentette, hogy elérhető egy ingyenes visszafejtő eszköz, amely lefedi az addig kiadott változatokat. Szeptemberben azonban a banda visszatért a szokásos tevékenységhez, a sebezhető Microsoft SQL-szervereket célozta meg, és azzal fenyegette meg az áldozatokat, hogy a Telegramon keresztül kiszivárogtatják az ellopott adatokat.

Új Linux változat

A Trend Micro kiberbiztonsági cég egy mai jelentésében azt állítja, hogy a TargetCompany ransomware új Linux-változata gondoskodik arról, hogy rendelkezzen adminisztrátori jogokkal, mielőtt folytatná a rosszindulatú rutint.

A zsarolóprogramok letöltéséhez és végrehajtásához a fenyegetés szereplője egy egyéni szkriptet használ, amely két külön szerverre is képes kiszűrni az adatokat, valószínűleg redundanciára, ha a géppel műszaki problémák merülnének fel, vagy ha az kompromittálódik.

A legutóbbi támadásokban használt egyedi shell-szkript
Forrás: Trend Micro

A célrendszeren a hasznos teher ellenőrzi, hogy az fut-e VMware ESXi környezetben az „uname” parancs végrehajtásával és a „vmkernel” keresésével.

Ezután létrejön egy „TargetInfo.txt” fájl, amelyet elküld a parancs- és vezérlőkiszolgálónak (C2). Olyan információkat tartalmaz az áldozatról, mint a gazdagépnév, IP-cím, operációs rendszer adatai, bejelentkezett felhasználók és jogosultságok, egyedi azonosítók, valamint a titkosított fájlok és mappák adatai.

A zsarolóprogram a virtuális géphez kapcsolódó kiterjesztéssel (vmdk, vmem, vswp, vmx, vmsn, nvram) rendelkező fájlokat titkosítja azáltal, hogy hozzáadja a „.locked” kiterjesztést a kapott fájlokhoz.

Végül egy “HOGYAN DECRYPT.txt” nevű váltságdíj-jegyzet kerül eldobásra, amely utasításokat tartalmaz az áldozat számára a váltságdíj kifizetésére és az érvényes visszafejtési kulcs visszaszerzésére.

Váltságdíjat elvetett a Linux-változat
Forrás: Trend Micro

Az összes feladat elvégzése után a shell-szkript törli a hasznos terhet az „rm -f x” paranccsal, így minden nyomkövetés, amely az incidens utáni vizsgálatokhoz használható, törlődik az érintett gépekről.

A TargetCompany legújabb támadási lánca
)Forrás: Trend Micro

A Trend Micro elemzői a TargetCompany ransomware új Linux-változatát telepítő támadásokat egy “vampire” nevű leányvállalatnak tulajdonítják, amely valószínűleg ugyanaz a Sequoia jelentés múlt hónap.

A rakomány kézbesítéséhez és az áldozat adatait tartalmazó szöveges fájl elfogadásához használt IP-címeket egy kínai internetszolgáltatóhoz vezették vissza. Ez azonban nem elegendő a támadó származásának pontos meghatározásához.

A TargetCompany ransomware általában a Windows-os gépekre koncentrált, de a Linux-változat megjelenése és a VMWare ESXi gépek titkosítására való átállás jól mutatja a művelet fejlődését.

Trend Micro jelentés olyan ajánlásokat tartalmaz, mint például a többtényezős hitelesítés (MFA) engedélyezése, biztonsági mentések készítése és a rendszerek naprakészen tartása.

A kutatók felsorolják a Linux ransomware-verziójának kivonataival, az egyedi shell-szkripttel és a „vampire” leányvállalattal kapcsolatos mintákra utaló kompromisszumot.

Leave a Reply

Your email address will not be published. Required fields are marked *