HelloKitty si unisce alla corsa del ransomware contro i server VMware ESXi

Apparentemente VMware ESXi sta guadagnando popolarità tra i cyber malintezionati. Negli ultimi mesi, diversi importanti operatori di malware, per lo più gruppi di ransomware, hanno iniziato a prendere di mira la soluzione hypervisor di VMware utilizzata da un gran numero di aziende. Di recente, la banda di HelloKitty è stata osservata attaccare i server VMware ESXi.

Cosa è stato scoperto?

HelloKitty, la famigerata banda di ransomware che ha guadagnato popolarità dopo aver preso di mira la società di giochi polacca CD Projekt, si è unita al crescente elenco di operatori di ransomware che prendono di mira VMware ESXi.

  • I ricercatori di MalwareHunterTeam hanno identificato diverse versioni Linux ELF64 del ransomware HelloKitty, progettate per colpire la piattaforma di macchine virtuali ESXi di VMware.
  • Il malware utilizza esxcli, lo strumento di gestione della riga di comando di ESXi, per esplorare le macchine e, di conseguenza, prenderle di mira. 
  • Tenta di spegnere le macchine prima di tentare di crittografarle. Questo metodo consente agli aggressori di crittografare più macchine utilizzando un singolo comando.
  • I file presi di mira da HelloKitty includono i file .vmdk (disco rigido virtuale), .vmsd (informazioni sui metadati e sugli snapshot) e .vmsn (contiene lo stato attivo della VM).

Altri gruppi che prendono di mira VMware ESXi

Solo pochi giorni fa, gli autori del ransomware REvil hanno aggiornato il loro malware Linux per colpire i dispositivi VMware ESXi e NAS.

  • Nel mese precedente, è trapelato online un generatore di ransomware For Babuk Locker. Questo kit può essere utilizzato per creare nuovo malware che può colpire sistemi Windows, dispositivi NAS basati su ARM e server VMWare ESXi.
  • Nello stesso periodo, gli operatori DarkSide RaaS avevano rilasciato una versione Linux del loro malware, che poteva prendere di mira i server ESXi.

Conclusioni

I server VMware ESXi sono comunemente utilizzati dalle aziende per ospitare un numero elevato di macchine. Prendendo di mira le macchine virtuali, gli aggressori possono crittografare più vittime con il minimo sforzo. Pertanto, si consiglia alle organizzazioni che utilizzano questi server di implementare la modalità di protezione elevata con più livelli di protezione.