Hypervisor Jackpotting: CARBON SPIDER dan SPRITE SPIDER Menargetkan Server ESXi Dengan Ransomware untuk Memaksimalkan Dampak

Hypervisor Jackpotting: CARBON SPIDER dan SPRITE SPIDER Menargetkan Server ESXi Dengan Ransomware untuk Memaksimalkan Dampak

Hypervisor Jackpotting: CARBON SPIDER dan SPRITE SPIDER Menargetkan Server ESXi Dengan Ransomware untuk Memaksimalkan Dampak

Kampanye ransomware berskala besar yang ditargetkan, yang disebut sebagai perburuan permainan besar (BGH), tetap menjadi ancaman eCrime utama bagi organisasi di semua sektor pada tahun 2020. 

Volume dan kecepatan kampanye ini yang tanpa henti berarti bahwa beberapa pelaku BGH yang canggih belum menarik banyak perhatian. Dua grup tersebut adalah SPRITE SPIDER, operator ransomware Defray777 (alias Defray , Defray 2018 , Target777 , RansomX , RansomEXX ), dan CARBON SPIDER , grup yang sebelumnya berfokus pada kompromi perangkat point-of-sale (POS), dan bertanggung jawab untuk memperkenalkan ransomware Darkside .

Meskipun ransomware untuk Linux telah ada selama bertahun-tahun, pelaku BGH tidak pernah menargetkan Linux secara historis, apalagi hypervisor ESXi secara spesifik. Ini mungkin mencerminkan dominasi sistem operasi Windows yang luar biasa dalam bisnis dan organisasi besar. Namun, pada paruh kedua tahun 2020, SPRITE SPIDER dan CARBON SPIDER mulai menerapkan versi Linux dari Defray777 dan Darkside , yang dirancang khusus untuk memengaruhi ESXi.

Korban yang terkena dampak termasuk organisasi yang telah menggunakan virtualisasi untuk meng-host banyak sistem perusahaan mereka di beberapa server ESXi, menciptakan jackpot virtual untuk ransomware. Dengan menerapkan ransomware pada host ESXi ini, musuh dapat dengan cepat meningkatkan cakupan sistem yang terpengaruh di dalam lingkungan korban, yang mengakibatkan tekanan tambahan pada korban untuk membayar permintaan tebusan.

Ini adalah taktik BGH baru yang oleh CrowdStrike disebut sebagai Hypervisor Jackpotting .
Korban yang terkena dampak termasuk organisasi yang telah menggunakan virtualisasi untuk meng-host banyak sistem perusahaan mereka di beberapa server ESXi, menciptakan jackpot virtual untuk ransomware. 

Dengan menerapkan ransomware pada host ESXi ini, musuh dapat dengan cepat meningkatkan cakupan sistem yang terpengaruh di dalam lingkungan korban, yang mengakibatkan tekanan tambahan pada korban untuk membayar permintaan tebusan. Ini adalah taktik BGH baru yang oleh CrowdStrike disebut sebagai Hypervisor Jackpotting .

# Apa itu ESXi?

ESXi adalah hypervisor Tipe-1 (alias hypervisor "bare-metal") yang dikembangkan oleh VMware. 
Hypervisor adalah perangkat lunak yang menjalankan dan mengelola mesin virtual (VM). 

Berbeda dengan hypervisor Tipe-2 yang berjalan pada sistem operasi host konvensional, hypervisor Tipe-1 berjalan langsung pada perangkat keras host khusus. Sistem ESXi biasanya dikelola oleh vCenter, alat administrasi server terpusat yang dapat mengontrol beberapa perangkat ESXi. Meskipun ESXi bukan sistem operasi Linux, dimungkinkan untuk menjalankan beberapa binari ELF yang dikompilasi Linux dalam shell perintah ESXi.

Menurut beberapa perkiraan, VMware memegang mayoritas pangsa pasar mesin virtual di seluruh dunia , jauh di depan pesaing terdekatnya. Ini berarti bahwa pelaku ancaman yang berusaha mengenkripsi infrastruktur virtual dapat memprioritaskan pengembangan malware yang dapat memengaruhi lingkungan VMware.

# SPRITE SPIDER dan Defray777 Ransomware

SPRITE SPIDER adalah aktor eCrime yang melakukan kampanye ransomware BGH volume rendah menggunakan ransomware Defray777 .

Alat lain yang digunakan oleh SPRITE SPIDER termasuk Vatet loader dan alat akses jarak jauh PyXie (RAT). 
Musuh telah membentuk akses awal dengan memanfaatkan rentan Citrix Application Delivery Controller, serta dengan menggunakan LUNAR SPIDER ‘s BokBot trojan. 

Untuk menghindari deteksi, SPRITE SPIDER sering menetapkan muatan pada server internal dalam jaringan korban dan menggunakan penerapan hanya dalam memori dari perkakas tahap selanjutnya. SPRITE SPIDER menggunakan PyXie dan Cobalt Strike untuk bergerak secara lateral dalam lingkungan korban setelah mendapatkan akses awal.  

Seperti aktor BGH lainnya, SPRITE SPIDER pertama kali mencoba menyusupi pengontrol domain (DC). Setelah memperoleh akses DC, SPRITE SPIDER mengumpulkan dan mengeksfiltrasi data korban yang sensitif, lalu menyebarkan ransomware Defray777 -nya. 

Pada November 2020, SPRITE SPIDER meluncurkan situs kebocoran khusus (DLS) pada domain layanan tersembunyi Tor untuk menerbitkan file dari korban ransomware yang tidak patuh.

Membocorkan data yang dicuri dalam upaya menekan korban agar membayar adalah bagian dari tren yang lebih luas di seluruh ekosistem BGH . Dibandingkan dengan pelaku BGH lainnya, SPRITE SPIDER relatif terlambat mengadopsi taktik ini, kemungkinan karena keinginan untuk menghindari perhatian. 

Pada Juli 2020, SPRITE SPIDER mulai menggunakan versi Linux dari ransomware Defray777 . Versi Linux berisi pemindaian file dan logika enkripsi yang sama dengan versi Windows-nya, dan dirancang untuk menerima argumen baris perintah dengan jalur ke direktori tempat ia akan memulai proses enkripsi rekursifnya. 

File dienkripsi menggunakan AES dalam mode ECB dengan kunci 256-bit yang dibuat secara unik untuk setiap file. Kunci tersebut kemudian dienkripsi menggunakan kunci publik RSA 4096-bit yang disematkan dan ditambahkan ke file yang dienkripsi. Setiap korban ditargetkan dengan build unik Defray777 yang berisi kunci publik RSA unik. Jika korban membayar tebusan, mereka menerima alat dekripsi yang berisi kunci pribadi RSA yang sesuai dengan kunci enkripsi publik.

# Akses ESXi

Untuk membahayakan perangkat ESXi, SPRITE SPIDER mencoba mengambil kredensial yang dapat digunakan untuk mengautentikasi ke antarmuka web vCenter. Sprite SPIDER menggunakan PyXie Lazagne modul ‘s untuk memulihkan kepercayaan vCenter disimpan dalam web browser, dan juga menjalankan Mimikatz untuk mencuri kredensial dari memori tuan rumah. Setelah mengautentikasi ke vCenter, SPRITE SPIDER memungkinkan SSH mengizinkan akses persisten ke perangkat ESXi. Dalam beberapa kasus, musuh juga akan mengubah kata sandi akun root atau kunci SSH host.

# Enkripsi ESXi

Sementara SPRITE SPIDER menggunakan teknik penyebaran dalam memori untuk varian Windows Defray777 , pada ESXi, musuh biasanya menulis versi Linux dari Defray777 ke /tmp/, menggunakan nama file yang mencoba menyamar sebagai alat yang sah (misalnya, svc-baru). Sprite SPIDER menyebutkan sistem informasi dan proses pada host ESXi menggunakan uname, dfdan perintah. esxcli vm process list

Sebelum menjalankan Defray777 , SPRITE SPIDER menghentikan VM yang berjalan untuk memungkinkan ransomware mengenkripsi file yang terkait dengan VM. SPRITE SPIDER juga dapat menghapus VMware Fault Domain Manager (FDM) menggunakan skrip bash bernama VMware-fdm-uninstall.sh. FDM adalah alat yang memantau VM dan mem-boot ulang VM ketika VM gagal. 

# CARBON SPIDER dan Darkside Ransomware

Sejak 2016, CARBON SPIDER secara tradisional menargetkan perusahaan yang mengoperasikan perangkat POS, dengan akses awal diperoleh menggunakan kampanye phishing bervolume rendah terhadap sektor ini. CARBON SPIDER telah menggunakan berbagai pintu belakang dan RAT untuk mengaktifkan akses persisten. Alat akses persisten khas musuh termasuk implan Sekur (alias Anunak ), yang telah digunakan sejak 2016, dan pintu belakang Harpy (alias Griffon ), yang telah digunakan dari 2018 hingga 2020. CARBON SPIDER secara ekstensif menggunakan Serangan Cobalt untuk gerakan lateral , serta alat pasca-eksploitasi sumber terbuka seperti PowerSploit .

Pada bulan April 2020, musuh tiba-tiba mengubah model operasionalnya dari kampanye sempit yang sepenuhnya berfokus pada perusahaan yang mengoperasikan perangkat POS, ke operasi oportunistik yang luas yang mencoba menginfeksi sejumlah besar korban di hampir semua sektor. Tujuan dari kampanye ini adalah untuk mengirimkan REvil ransomware, yang diperoleh CARBON SPIDER dari vendor ransomware-as-a-service (RaaS) PINCHY SPIDER. 

Kemungkinan CARBON SPIDER berputar ke BGH sebagai tanggapan terhadap pandemi COVID-19, yang secara dramatis mengurangi penjualan eceran dan bisnis perhotelan secara langsung. Mirip dengan SPRITE SPIDER, CARBON SPIDER biasanya berupaya untuk menyusupi DC terlebih dahulu sebelum mengeksfiltrasi data dan menyebarkan ransomware.

CARBON SPIDER memperdalam komitmennya terhadap BGH hingga tahun 2020 dengan memperkenalkan ransomware-nya sendiri, Darkside . Pada Agustus 2020, musuh mulai menyebarkan Darkside , kemungkinan untuk menghindari pembagian keuntungan dari kampanye BGH dengan PINCHY SPIDER, vendor REvil . Pada November 2020, musuh mengambil langkah lain ke dunia BGH dengan membuat program afiliasi RaaS untuk Darkside , memungkinkan aktor lain untuk menggunakan ransomware sambil membayar potongan CARBON SPIDER. Mirip dengan SPRITE SPIDER dan lainnya, CARBON SPIDER mengoperasikan DLS untuk Darkside , yang telah aktif sejak Agustus 2020. 

Pada Agustus 2020, CARBON SPIDER juga mulai menggunakan varian Linux dari Darkside yang dikonfigurasi secara khusus untuk memengaruhi host ESXi. The ESXi versi Darkside file target yang berkaitan dengan mesin virtual VMware, termasuk file dengan ekstensi file berikut: vmdk, vswp, vmem, vmsn, nvram, vmsd, vmss, vmx, vmxf, log. File dienkripsi menggunakan algoritma ChaCha20 dengan kunci 32-byte dan nonce 8-byte, yang dibuat secara unik per file. Kunci dan nonce ChaCha20 kemudian dienkripsi menggunakan kunci publik RSA 4096-bit yang tertanam dalam ransomware. 

Untuk mempercepat proses enkripsi, Darksidejuga memiliki ukuran enkripsi yang dapat dikonfigurasi yang dapat digunakan untuk mengontrol seberapa banyak setiap file yang dienkripsi. Dalam sampel yang dipulihkan oleh CrowdStrike Intelligence, ukuran enkripsi disetel ke 50 MB, yang merupakan data yang cukup untuk mencegah pemulihan file mesin virtual. Contoh konfigurasi Darkside , seperti yang tertulis di file log-nya, ditunjukkan pada Gambar 1. 

 

# Akses ESXi
Mirip dengan SPRITE SPIDER, CARBON SPIDER telah memperoleh akses ke server ESXi menggunakan kredensial yang valid. Musuh biasanya mengakses sistem ini melalui antarmuka web vCenter, menggunakan kredensial yang sah, tetapi juga masuk melalui SSH menggunakan utilitas Plink untuk menjatuhkan Darkside .

# ESXi Encryption
CARBON SPIDER menulis Darkside ke /tmp/host ESXi dengan nama file generik. Musuh biasanya tidak melakukan jumlah pengintaian host yang sama seperti yang dilakukan SPRITE SPIDER. CARBON SPIDER telah menggunakan skrip VMware Tools bawaan untuk mematikan VM tamu untuk memastikan VM ini dienkripsi oleh Darkside .

# Kesimpulan

Dengan menyebarkan ransomware di ESXi, SPRITE SPIDER dan CARBON SPIDER kemungkinan besar bermaksud untuk menimbulkan kerugian yang lebih besar pada korban daripada yang dapat dicapai oleh keluarga ransomware Windows masing-masing. Mengenkripsi satu server ESXi menimbulkan jumlah kerusakan yang sama seperti menyebarkan ransomware secara individual di setiap VM yang dihosting di server tertentu. Akibatnya, menargetkan host ESXi juga dapat meningkatkan kecepatan operasi BGH.

Jika serangan ransomware pada server ESXi ini terus berhasil, kemungkinan lebih banyak musuh akan mulai menargetkan infrastruktur virtualisasi dalam jangka menengah.

Previous Post
Next Post

post written by:

0 Comments: