Linux-Variante der REvil-Ransomware zielt auf ESXi- und NAS-Geräte von VMware

  • Die Kriminellen, die hinter der potenten Ransomware REvil stecken, haben die Malware für gezielte Angriffe auf Linux portiert.

    Die Cyberkriminellen, die hinter einer Reihe hochkarätiger Ransomware-Angriffe stecken, darunter einer, mit dem letzten Monat 11 Millionen US-Dollar von JBS Foods erpresst wurden, haben ihren Malware-Code auf das Linux-Betriebssystem portiert. Der ungewöhnliche Schritt ist ein Versuch, die ESXi-Verwaltungssoftware für virtuelle Maschinen von VMware und NAS-Geräte (Network Attached Storage) anzugreifen, die auf dem Linux-Betriebssystem (OS) laufen.

    Forscher bei AT&T Cybersecurity sagten, sie hätten vier Linux-Samples der REvil-Malware in freier Wildbahn bestätigt.

    Ofer Caspi, Sicherheitsforscher bei Alien Labs, einer Abteilung von AT&T Cybersecurity, schrieb in einem Blog am Donnerstag, dass er nach einem Hinweis von MalwareHuntingTeam die vier Samples identifiziert hat.

    “Die Autoren der Ransomware REvil haben ihr Arsenal um Linux-Ransomware erweitert, mit der sie ESXi- und NAS-Geräte angreifen können”, schrieb Caspi.

    In Anspielung auf Recherchen von AdvIntel Anfang Mai 2021, die über die Absicht von REvil berichteten, seine Windows-basierte Ransomware auf Linux zu portieren, bestätigte Caspi, dass die Linux-Variante im Mai gesichtet wurde und “*nix-Systeme und ESXi angreift.”

    “Die Samples sind ELF-64 ausführbare Dateien, mit Ähnlichkeiten zu den Windows REvil ausführbare, wobei die auffälligste unter den Konfigurationsoptionen,” er schrieb.

    Executable and Linkable Format (oder ELF-64) ist ein Standard-Dateiformat für ausführbare Dateien innerhalb von Linux und UNIX-ähnlichen Betriebssystemen, nach einer technischen Aufschlüsselung.

    Linux Ransomware: Selten, aber real

    Was die Entdeckung der Linux-Ransomware-Variante durch Alien Labs so einzigartig macht, ist die Tatsache, dass Linux, Unix und andere Unix-ähnliche Computer-Betriebssysteme in der Regel nicht das Ziel von Angreifern sind. Microsoft Windows-Computersysteme liefern in der Regel den größten Ertrag für die Bemühungen eines Angreifers, da dieses Betriebssystem allgegenwärtig ist. Darüber hinaus sind Linux-Instanzen in der Regel gut gegen Schwachstellen geschützt, da eine engmaschige Benutzerbasis schnelle Sicherheitsupdates bereitstellt.

    Zu den Beispielen für Linux-Malware der letzten Jahre gehören Tycoon, Lilocked (oder Lilu) und QNAPCrypt. Im November identifizierte Kaspersky ein Linux-Sample von RansomEXX. Die Forscher stellten fest, dass die Kriminellen ihre Linux-Variante auf “WinAPI (Funktionen, die für das Windows-Betriebssystem spezifisch sind)” basierten und einen ähnlichen Mechanismus verwendeten, um gezielt Linux MBED TLS-Bibliotheken zu manipulieren.

    MBED TLS ist eine Implementierung der TLS- und SSL-Protokolle, die unter der Apache-Lizenz vertrieben wird. Apache ist eine weit verbreitete Webserver-Software, die auf der Linux-Plattform läuft.

    Im Mai stellten Forscher fest, dass die Kriminellen hinter der DarkSide-Ransomware auch eine Linux-Variante veröffentlicht haben. Die Angreifer hatten es auch auf “mit virtuellen Maschinen verbundene Dateien auf VMware ESXI-Servern” abgesehen. Die Forscher sagten, dass die Malware “ihre eingebettete Konfiguration analysiert, virtuelle Maschinen abschießt, Dateien auf dem infizierten Rechner verschlüsselt, Systeminformationen sammelt und an den Remote-Server sendet.”

    Gezielte Angriffe: Linux im Fadenkreuz

    VMware ESXi, früher bekannt als ESX, ist ein Bare-Metal-Hypervisor, der sich einfach auf Ihrem Server installieren lässt und diesen in mehrere virtuelle Maschinen (VM) partitioniert.

    “Der Hypervisor ESXi ermöglicht es mehreren virtuellen Maschinen, sich denselben Festplattenspeicher zu teilen. Dies ermöglicht es Angreifern jedoch auch, die zentralisierten virtuellen Festplatten zu verschlüsseln, auf denen die Daten der verschiedenen VMs gespeichert sind, was zu Störungen in Unternehmen führen kann”, berichtet Alien Labs. “[I]Neben ESXi hat es REvil auch auf NAS-Geräte als weitere Speicherplattform abgesehen, die das Potenzial hat, die betroffenen Unternehmen stark zu beeinträchtigen.”

    Laut den Forschern weist die Linux-Version von REvil ähnliche Eigenschaften auf wie die Windows-Variante. “Die [executable’s] Konfigurationsdateiformat ist dem der REvil-Windows-Samples sehr ähnlich, allerdings mit weniger Feldern”, schrieb Caspi.

    Ähnlichkeiten umfassen auch:

    • Base64-kodierter Wert, der den öffentlichen Schlüssel des Angreifers enthält, der zum Verschlüsseln von Dateien verwendet wird.
    • Der Ransomware-as-a-Service (RaaS) Affiliate Identifier (7987) wird von beiden Betriebssystemen gemeinsam genutzt.
    • Der Inhalt der Ransomware-Nachricht ist in base64 kodiert.
    • Die verschlüsselten Erweiterungen, die fünf zufällige Zeichen zu sein scheinen, sind: .rhkrc, .qoxaq, .naixq und . 7rspj.

    “Die Bedrohungsakteure hinter REvil RaaS haben schnell eine Linux-Version entwickelt, um gegen die kürzlich veröffentlichte Linux-Version von DarkSide anzutreten. Es ist schwer zu klären, ob diese beiden RaaS gegeneinander konkurrieren oder zusammenarbeiten, wie von anderen Sicherheitsforschern behauptet”, schreiben die Forscher.

    Schauen Sie sich unsere kostenlosen kommenden Live- und On-Demand-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/01164740/Linux-OS.jpg]

    Einige Teile dieses Artikels stammen aus:
    threatpost.com