ESXiArgs_ransomware

Il nuovo Ransomware ESXiArgs prende di mira i server VMware ESXi

Il nuovo Ransomware ESXiArgs prende di mira i server VMware ESXi. Sfrutta la vulnerabilità CVE-2021-21974, corretta due anni fa. Cosa sappiamo per adesso

Gli alert dello CSIRT francese e dell’ACN Italiana: la CVE-2021-21974 sfruttata attivamente
I primi giorni di Febbraio sia il CERT francese che l’ACN hanno diramato alert avvisando le aziende di una massiccia campagna di scansione su server VMware ESXi esposti. IL CERT Francese, in dettaglio, ha avvisato che attaccanti sconosciuti stanno attivamente attaccando server VMware ESXi non patchati per distribuire un ransomware. La vulnerabilità in uso ha circa 2 anni e consente l’esecuzione di codice da remoto.

Dello stesso tenore l’alert dell’ACN, che ha avvisato come tramite Shodan, fosse in corso questa scansione massiva di server vulnerabili alla CVE-2021-21974. Questa vulnerabilità è una falla di sicurezza di OpenSLP che consente ad un utente non autenticato di ottenere la possibilità di eseguire codice dannoso da remoto tramite un attacco di scarso livello di complessità.

La conferma da parte di VMware è arrivata il 6 Febbraio: il vendor ha confermato la vulnerbailità sfruttata e ha sottolineato come non si tratti di una 0-day. La CVE-2021-21974 infatti è già stata risolta nel Febbraio 2021. In questa campagna la falla è stata sfruttata attraverso la porta OpenSLP(427) per distribuire un nuovo ransowmare, ESXiArgs.

Per saperne di più > Server VMWare ESXi sotto attacco: la patch è già disponibile

Le versioni affette sono:

VMware ESXi 6.5
VMware ESXi 6.7
VMware ESXi 7.0
VMware Cloud Foundation (ESXi) 3.x
VMware Cloud Foundation (ESXi) 4.x
Il vendor ha invitato gli utenti ad installare i più recenti aggiornamenti di ESXi e di disabilitare il servizio OpenSLP, che è stato comunque disabilitato di default a partire dal 2021.

Vedi qui l’avviso di sicurezza di VMware > https://www.vmware.com/security/advisories/VMSA-2021-0002.html

La nuova operazione ransomware che ha colpito l’Europa (e non solo): ESXiArgs
Questa ondata di scansioni è stata seguita, come detto, da attacchi diretti verso quei server vulnerabili risultati esposti in Internet. Il provider cloud francese OVHcloud, che purtroppo ha subito l’infezione di alcuni server, ha per primo collegato questa ondata di attacchi contro i server VMware ESXi al ransomware Nevada. Col trascorrere dei giorni si è fatto chiaro che, invece, l’Europa si è trovata a fronteggiare una minaccia nuova, un nuovo ransomware. Nuova minaccia che, già al primo giorno di operazioni, ha criptato 120 server ESXi arrivando a 2.400 server infettati nel primo fine settimana.

A fronte di un buon numero di server criptati, risultano invece pochissimi riscatti pagati: la richiesta ammonta a circa 42.000 euro. Probabilmente ciò è stato influenzato dal fatto che un ricercatore di sicurezza, Eners Sonmez, ha pubblicato una guida che consente gli amministratori di ricostruire le proprie virtual machine e recuperare i dati in chiaro (la guida è disponibile qui. Non garantiamo l’efficacia di questa soluzione, la menzioniamo per dovere di completezza delle informazioni N.d.r).

Ransomware ESXiArgs: cosa sappiamo per adesso
Il ransomware EXSiArgs cripta i file con estensioni .vmxf, .vmx, .vmdk, .vmsd e .nvram, quindi crea un file .args con i metadata per ogni file criptato. La nota di riscatto è un file HTML chiamato “ransom.html” e “How to Restore Your Files.html“, ma alcune vittime hanno dichiarato di aver ritrovato sui sistemi colpiti una nota di riscatto in formato testuale

Fonte: Bleeping Computer
I tecnici della redazione di Bleeping Computer hanno potuto analiuzzare l’encryptor del ransomware. Sono così riusciti a ricostruire come sono condotti questi attacchi. Una volta ottenuto l’accesso al server, sono salvati nella cartella temp i file

ecrypt – l’eseguibile ELF dell’encryptor;
encrypt.sh – uno script shell che esegue una serie di azionji prima di eseguire l’ecryptor;
public.pem – la chiave pubblica RSA usata per criptate la chiave per criptare un file;
motd – la nota di riscatto in forma testuale sarà copiata in /etc/motd, così sarà mostrata al login. Il file originale del server sarà copiato in /etc/motd1;
index.html – è la nota di riscatto in formato HTML, che serve a sostituire la home page di VMware ESXi.
Ransomware ESXiArgs: qualche info tecnica
La bad news è che l’encryptor non mostra falle sfruttabili per violare l’algoritmo di criptazione. Interessante però è l’uso di Sosemanuk, un cifrario a flusso usato per generare le chiavi di criptazione. La chiave di criptazione privata non viene salvata, così gli attaccanti si assicurano che, senza chiave privata, la vittima non potrà ripristinare i file. Sosemanuk è usato molto raramente nel mondo ransomware e rimanda ad una precisa famiglia, quella di Babuk, il cui codice sorgente è trapelato online.

“L’uso dell’algoritmo Sosemanuk è piuttosto raro e di solito viene usato solo dai ransomware il cui codice deriva da Babuk (nella variante per ESXi). Potrebbe essere questo il caso, ma l’hanno modificato per usare RSA invece dell’implementazione Curve25519 di Babuk”.

L’encryptor è lanciato usando lo shell script encrypt.sh. Quando lanciato, lo script eseguirà i seguenti comandi per motidifcare il file di configurazione (.vmx) della macchina virtuale ESXi,così che le stringe ‘.vmdk’ e ‘.vswp’ sono modificate in ‘1.vmdk’ e ‘1.vswp’.

Fonte: Bleeping Computer
Lo script termina quindi tutte le virtual machine in esecuzione semplicemente forzando all’arresto tutti i processi che contengonmo la stinga wmx o simili. Quindi lo script userà il comando

esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F' ' '{print $2}
per ottenere la lista dei volumi EXSi (in dettaglio cerchherà match con le seguenti estensioni .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem. Quindi, per ogni file, lo script creerà un file “nomefile.args” nella stessa cartella. Quindi viene avviata la criptazione. Nella foto sotto la routine per creare i file .args e criptare i file

Fonte: Bleeping Computer
Infine lo script “ripulisce”il campo di battaglia. Cancellerà i log, una serie di linee da alcuni file come
/var/spool/cron/crontabs/root e /bin/hostd-probe.sh (ecc…), quindi rimuoverà una bacldoor Python precedentemente installata in /store/packages/vmtools.py.

Per una trattazione più estesa, rimandiamo alla fonte originale dell’analisi di Bleeping Computer.

formbook-infostealer

Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

Formbook: il malware infostealer che ha scelto l’Italia
E’ un nome ricorrente: rimbalza in ognuno dei report che, settimanalmente, il CERT-AgiD pubblica ricostruendo e dettagliando le campagne dannose attive di settimana in settimana nel cyber spazio italiano. Parliamo di FormBook, un malware in diffusione da anni e che ha una funzionalità principale, ovvero quella di infostealer, furto informazioni e dati. E anche un cosiddetto “form grabber” quei malware pensati per rubare le informazioni che gli utenti inseriscono in form di login, di contatto e di pagamento.

E’ un malware as a service, ovvero un servizio malware online tramite il quale utenti malintenzionati possono affittare il malware e distribuirlo, gestendolo tramite la dashboard del servizio: si, proprio come fosse un servizio professionale ad abbonamento. Gli autori non vendono il malware in se, ma il suo pannello tramite il quale viene generato il file eseguibile.

La dashboard del MaaS Snake
Dashboard, prezzi, informazioni dal servizio FormBook. Fonte: www.fireeye.com
Formbook: dettagli tecnici
Il malware funziona per iniezione: inietta se stesso in vari processi di sistema e installa funzionalità per il log delle battiture sulla tastiera (keylogging), per il furto dei contenuti degli appunti, per estrarre dati dalle sessioni HTTP e HTTPS: comunica costantemente col proprio server di comando e controllo e riceve da esso comandi per eseguire funzionalità specifiche utili sulla macchina infetta, per avviare determinati processi, per spegnere o riavviare il sistema, per rubare cookie e password locali.

Una delle caratteristiche più interessanti di questo malware è la sua capacità di leggere il modulo di Windows ntdll.dll dal disco nella memoria e chiamarne direttamente le funzioni esportate, rendendo inefficaci il meccanismo di monitoraggio delle API e lo user-mode hooking. Una tecnica chiamata “Lagos Island method” che, stando a quando dichiarato dai suoi autori, deve il nome ad un rootkit omonimo).

E’ dotato anche di un metodo di persistenza che prevede un continuo cambio random di percorso, nome file, estensione del file e chiavi di registro usate per la persistenza stessa.

I processi di Formbook
I processi di Formbook. Fonte: any.run
Le funzionalità principali
Come detto FormBook cerca di rubare dati, ma ad esempio non ha alcuna funzionalità che miri ai dati bancari: non è possibile cioè definirlo come banking malware. Le principali funzionalità sono:

keylogging;
monitoraggio degli appunti;
furto di dati dai form in HTTP / HTTPS / SPDY, HTTP2 e delle richieste di rete;
furto password dai browser e dai client email
screenshot.
Dal proprio server di comando e controllo, può ricevere ulteriori istruzioni tra le quali:

aggiornamento del bot sul sistema host;
download ed esecuzione di ulteriori file;
rimozione del bot dal sistema host;
esecuzione di comando tramite ShellExecute;
furto dei cookie del browser;
riavvio del sistema;
arresto del sistema;
download e estrazione di archivi .ZIP.
Infrastruttura: qualche dettaglio
I domini di comando e controllo (C2) sfruttano, in genere, domini di primo livello generici e poco diffusi come .site, .website, .tech, .online, info. Nelle campagne recenti, i domini usati sono stati tutti registrati utilizzando il servizio di protezione privacy WhoisGuard. Ogni server ha, in generale, ha installazioni del pannello multiple, cosa che potrebbe indicare che FormBook si basi sul modello affiliativo.

Informazioni di installazione
Il malware è un file RAR autoestraente che avvia un loader Autolt. Il loader compila ed esegue lo script Autolt, che decripta il file payload di FormBook, lo carica nella memoria, quindi lo esegue. Il malware a questo punto copia sé stesso in una nuova location. Se il malware p eseguito con alti privilegi di amministrazione, si copierà in una delle seguenti directories:

%ProgramFiles%
%CommonProgramFiles%
Se invece viene eseguito con privilegi normali, copia sé stesso in una delle seguenti directories:

%USERPROFILE%
%APPDATA%
%TEMP%
FormBook configura la persistenza in una delle seguenti location, a seconda dei privilegi coi quali viene eseguito:

(HKCU|HKLM)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(HKCU|HKLM)\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Come ogni malware che si rispetti, anche FormBook è dotato di alcune accortezze per impedire a ricercatori ed analisti di “intrappolarlo” in qualche honeypot o debuggarlo, comprese ben 3 blacklist: una per i moduli, una per i processi e una per gli username.

Le campagne di distribuzione
Come stiamo vedendo in Italia ormai da mesi, FormBook viene distribuito tramite campagne email contenenti allegati dannosi di vario formato, ma i più comuni sono:

PDF contenente un link accorciato col servizio “tny.im”, che reindirizza ad un server che contiene il payload di FormBook;
allegati DOC e XLS, contenenti macro dannose che, se abilitate, eseguono il download del payload di FormBook;
allegati ZIP, RAR, ACE, ISO che contengono direttamente l’eseguibile di FormBook.
Stando a recenti report del CERT-AgID, Formbook è in diffusione quasi tutte le settimane da inizio 2022. Nelle più recenti analisi è stato individuato in diffusione tramite allegati XLSX sfruttando l’exploit Equation Editor (CVE-2017-11882).

killnet_ddos-980x653

KillNet colpisce ancora: down i siti di ospedali statunitensi e olandesi

Ricorderete KIllNet, il gruppo di hacktivisti pro Russia nato in risposta all’IT Army Ucraina e che si è già contraddistinto per numerosi attacchi, principalmente DDoS (ma non solo) verso aziende ed enti governativi europei e statunitensi.

KillNet: ospedali statunitensi nel mirino degli attaccanti. Per fortuna solo con DDoS
Da qualche giorno il gruppo ha deciso di prendere di mira gli Stati Uniti, in dettaglio alcuni tra i principali ospedali statunitensi. L’ondata di attacchi è stata scatenata poche ore dopo che il Presidente Joe Biden ha confermato la volontà degli USA da rifornire l’esercito ucraino di tank. Sotto i colpi degli attacchi DDoS, sono finite strutture del calibro di Stanford Healthcare, Duke University Hospital, Cedars-Sinai, The The University of Michigan Hospital e molti altri. Tutti hanno lamentato problematiche relative ai propri siti web, alcuni finiti in down, ma anche ai propri portali di servizio.

Per approfondire > KillNet all’attacco del Parlamento Europeo

Fonte: Telegram Killnet
Fonte: Telegram Killnet
L’ondata di attacchi è stata rivendicata da KillMilk in persona, colui che al momento ricopre il ruolo di portavoce / leader del gruppo KillNet. La rivendicazione è in inglese ed è una aperta minaccia all’occidente:

Fonte: Telegram Killnet
“Bene, che cosa c’è di sbagliato se i server delle istituzioni sanitarie dei vostri paesi viene attaccata? State fornendo le armi ai nazisti per uccidere il mio popolo. Ringraziateci per il fatto di non aver toccato, oggi, le reti sanitarie e che nessuno è morto in clinica, oggi. Ma domani potrei cambiare idea..[…]”

Una prima lista di ospedali colpiti è stata resa disponibile dal sito securityaffairs.com: i siti sottostanti sono tutti andati offline per qualche ora.

https://uamshealth.com
https://www.atholhospital.org
https://northernlighthealth.org/mercy-hospital
https://www.ochsner.org/locations/st.-charles-parish-hospital/
https://ukhealthcare.uky.edu/mychart#section-145206
https://kutopeka.com
https://www.franciscanhealth.org
https://navicenthealth.org
https://www.bayhealth.org
https://www.connecticutchildrens.org
https://www.bannerhealth.com/locations/phoenix/banner-university-medical-center-phoenix
https://www.bchcares.org
https://anmed.org
http://www.cheshire-med.com/
https://atriumhealth.org/locations/detail/atrium-health-cabarrus
Alcuni invece, presentano ancora problematiche: sito ancora in down, problemi di protocolli di sicurezza, un loop infinito di redirect ecc…

Non solo Stati Uniti: nel mirino anche l’Olanda
E’ di poche ore fa la notizia di un attacco che ha colpito lo University Medical Center Groningen nei Paesi Bassi. Anche in questo caso, KillNet ha rivendicato l’attacco.

Il CERT olandese ne ha dato notizia poche ore dopo l’inizio dell’ondata di DDoS, dando per cera una prima vittima, ovvero l’ospedale di Gronigen, ma non ha escluso la possibilità che siano state colpite altre strutture. Anche in questo caso, comunque, si parla di DDoS, una tipologia di attacchi che non provoca gravi danni quanto più disagi temporanei.

Nel mentre, Killnet ha preso di mira anche il CERT olandese e ha messo in down il suo sito web.

combolist

Dopo il down di Libero e Virgilio un diluvio di email italiane “bucate”

Dopo il down di Libero e Virgilio, tra Telegram e il darkweb stanno circolando molte liste di con user e password. Si tratta di oltre un milione di account email di utenti italiani.

Dopo il down di libero diluvio di combolist
Sul down dei servizi email di Libero e Virgilio non aggiungiamo altro. In breve, stando a quanto dichiarato dall’azienda, non c’è stato alcun attacco informatico. Il down cioè è stato conseguenza di altro, in dettaglio un bug della nuova tecnologia di storage adottata recentemente dal provider.

Il momento di incertezza, il caos, la rabbia degli utenti, il diffondersi di notizie (più o meno verificate) hanno realizzato il contesto perfetto perché alcuni “furbetti” potessero rilanciare sia attività di phishing sia la diffusione di combolist. Proprio da queste ultime vogliamo partire.

Per combolist si intendono le coppie utenza+password in chiaro: liste infinite di email e di password in chiaro. La redazione di Red Hot Cyber ha vagliato approfonditamente sia Telegram che il darkweb rintracciando molteplici liste di account email. Ecco i risultati di questa verifica:

30k libero it.txt
73k Italy [ Crew…Teams ].txt
200k Libero it.txt
500K UHQ COMBOLIST GOOD FOR ITALY (libero.it).txt
361k Italian B2C Phone Numbers.xlsx
Le combolist su Telegram
Fonte: Red Hot Cyber
Queste sono alcune delle liste disponibili GRATUITAMENTE al download nei vari canali specializzati in data breach e data leak.

“Per prima cosa abbiamo prelevato le utenze e le password presenti in questi file e creato una tabella che contenesse tutte le credenziali utente e le rispettive password. Tale lista conteneva ben 1.305.125 account di libero.it”

spiegano gli esperti di Red Hot Cyber.

Accorpando i dati, le caselle di posta univoche con password sono risultate 1.137.893. E’ emerso come alcuni account risultassero in lista più volte, ma con password differenti. A significare, insomma, che le password sono state sottratte in momenti diversi dallo stesso client.

Email bucate: una debacle da cui trarre alcuni insegnamenti. A partire dalle password

Uno degli aspetti su cui si sono più concentrati gli esperti di Red Hot Cyber è quello delle password. L’analisi sulle combolist ha consentito di individuare “specifici pattern”.

“Questo ci consente di tentare di individuare una successiva password basandosi sulle tipologie di password riportate in precedenza. Ad esempio, se una prima password e “gladio77”, una successiva è “gladiatore”, una potenziale successiva password potrebbe essere: gladiatore22, gladiatore23, gladiatore2023, gladio2023, e via discorrendo”

si legge.

Password intuibili
Fonte: Red Hot Cyber
Non solo: molte password riportano stringhe come “2022” o “2023”. Da questo gli esperti ricavano che alcune di queste password sono state sottratte in tempi assai recenti e che quella password è stata modificata / impostata in quello specifico anno.

Fonte: Red Hot Cyber
In entrambi i casi, quindi, c’è “una logica” piuttosto ovvia e scontata, che può aiutare gli attaccanti a ricostruire una determinata password. Un grande aiuto degli utenti agli attaccanti.

Non solo combolist: gli attacchi di phishing
Come detto, il caos, la scarsa comunicazione, la rabbia dovuta al down di Libero e Virgilio ed ad un disservizio prolungato sono tutti strumenti molto utili ai cyber attaccanti. Soprattutto per quelli specializzati in attacchi di phishing. Ecco che, proprio ieri, lo CSIRT italiano ha dato notizia di una campagna di smishing, ovvero il phishing via SMS, mirata contro utenti Libero e Virgilio.

Smishing ai danni di utenti Libero e Virgilio
Fonte: CSIRT
Come si vede, qualcuno ha tentato di approfittare del disservizio occorso ai servizi email Libero e Virgilio per rubare ulteriori dati. L’SMS invita gli utenti a confermare il proprio account email tramite una serie di pagine indicate via link. Queste, in realtà, tramite un meccanismo di redirect verso risorse remote, conducono a pagine fake che imitano pagine ufficiali di Virgilio e Libero.

Inutile dire, forse, che tutti i dati inseriti in queste pagine fake finiscono direttamente in mano agli attaccanti e non fanno altro che alimentare le famose combolist di cui sopra. Anche in questo caso la massima attenzione dell’utente è necessaria. Contro il phishing infatti non c’è antivirus che tenga e l’unica difesa possibile è la consapevolezza dell’utente.

Oltre il down di Libero: come mitigare i rischi
Come minimizzare il rischio in questi casi? Come mettere al sicuro i propri account? Queste domande sorgono piuttosto spontanee, analizzando l’accaduto di questi giorni.

Un primo dato importante di cui tenere conto è che molto spesso le campagne di phishing riescono ad essere mirate perchè gli attaccanti le confezionano mettendo a frutto dati sottratti in precedenza o che noi stessi abbiamo diffuso sui social o, in generale, sul web.

C’è poi il problema del riutilizzo delle password. Chi utilizza la stessa password per più servizi corre un gravissimo rischio, quello per cui un attaccante riesce ad accedere a più account e servizi utilizzando una sola password. Se ci fossero ancora dubbi, il riutilizzo delle password è una pessima prassi, da evitare nel modo più assoluto.

Infine c’è una mitigazione molto efficace, della quale però ancora non s’è preso (evidentemente) ancora consapevolezza. Questa misura di sicurezza risponde al nome di Multi Factor Authentication. Nel caso in oggetto, questa misura è stata consigliata agli utenti proprio da Libero stesso.

Il secondo ( o ulteriore) fattore di autenticazione fa si che un attaccante non possa “accontentarsi” della sola password. Dovrà comunque, per accedere all’account, inserire un codice ulteriore (le famose OTP) inviate via SMS o tramite altro mezzo sul dispositivo del possessore dell’account. Da questo punto di vista ricordiamo che ormai praticamente tutti i servizi online, che siano social o web mail o altra tipologia di servizi, consentono di attivare l’autenticazione a due fattori.

Insomma, gli attaccanti sono subdoli e capaci di sfruttare momenti di crisi. Un pò di prevenzione, la consapevolezza e alcune misure tecniche possono però rendere loro la vita più complessa.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy