Återställning av Ransomware
Massutnyttjande av ESXi-hosts
Vad hände?
Fredagen den 3 februari 2023 kom nyheterna om en attack som riktar sig mot VMware ESXi-värdar.
VMware ESXi är en hypervisor som gör det möjligt för användarna att köra flera virtuella datorer på en enda maskinvara. VMware ger följande definition av en hypervisor: "En hypervisor, även känd som Virtual Machine Monitor eller VMM, är en programvara som skapar och kör virtuella maskiner (VMs). En hypervisor gör det möjligt för en värddator att stödja flera gäst-VM:er genom att virtuellt dela dess resurser, t.ex. minne och bearbetning."1.
VMware ESXi har blivit populärt bland IT-administratörer eftersom det erbjuder liknande funktioner som ESX vCenter i företagsklass med vissa funktioner inaktiverade. En bidragande orsak till att ESXi är så populärt är att VMware erbjuder det som en gratis nedladdning.
Angriparna har uppenbarligen som mål att kryptera de virtuella maskinerna på den drabbade hypervisorn ESXi som en del av en attack med ransomware. De första rapporterna kom från den franska CERT2 och från den kommersiella hosting- och molntjänstleverantören OVHcloud3. Senare publicerade OVHcloud en uppdatering av sitt första blogginlägg och hävdade att de drabbade ESXi-värdarna är bare metal-värdar som manageras direkt av kunderna och att managerade ESXi-värdar inte påverkades. Dessa rapporter visade att angriparna riktar sig mot den exponerade OpenSLP-tjänsten på port 427 på distans. Den franska CERT pekade på två potentiella sårbarheter, CVE-2020-3992 och CVE-2021-21974, som eventuellt utnyttjas av angripare.
Attacken kallades "ESXiArgs"4 baserat på de ESXi-värdar som angreps och funktioner i malware som åberopade flera argument på den drabbade värden, samt att filtillägget ".args" lades till krypterade filer. Måndagen den 6 februari 2023 tillade VMware att de ännu inte har sett några bevis för att denna attack är relaterad till en "okänd sårbarhet" eller en zero day attack. Tills motsatsen är bevisad är den mer sannolika teorin att det är befintliga svagheter som angrips. Måndagen den 6 februari kunde mer än 3200 potentiellt sårbara värdar identifieras i sökresultat från Censys och Shodan.
VMware har tidigare utfärdat flera säkerhetsuppdateringar för OpenSLP-tjänsten. VMware utfärdade officiella uppdateringar i slutet av 20205 och början av 20216 för CVE-2020-3992 respektive CVE-2021-21974. VMware har också angett att denna tjänst är inaktiverad i standardkonfigurationen av ESXi från ESXi version 7.0 U2c och ESXi version 8.0 GA7 och framåt. Det är oklart om OpenSLP var aktiverat som standard i äldre versioner och om denna tjänst då automatiskt kunde exponeras för internet baserat på den normala nätverkskonfiguration som finns hos webbhotell som OVHcloud och andra.
Proof-of-concept-exploits (PoC) är också lätt tillgängliga för båda sårbarheterna8 9 och har funnits tillgängliga inom några månader efter det att den officiella sårbarheten blivit allmänt känd.
I CISA:s katalog över kända utnyttjade sårbarheter10 (KEV) finns CVE-2020-3992 förtecknad med datumet 3 november 2021. Myndigheter inom Federal Civilian Executive Branch (FCEB) fick fram till den 3 maj 2022 på sig att åtgärda sårbara ESXi-värdar. I skrivande stund finns ingen post för CVE-2021-21974. Det finns dock en annan kritisk OpenSLP-sårbarhet för ESXi, CVE-2019-554411, som infördes i KEV-katalogen samma dag. Ingen offentligt tillgänglig PoC-kod kunde hittas som var direkt kopplad till CVE-2019-5544, men eftersom OpenSLP är öppen källkod kan man undersöka de kodändringar som är kopplade till sårbarheten och förstå hur den kan utnyttjas.
I ett blogginlägg12 från Rapid7 från den 11 november 2020 hänvisas till en tweet av Kevin Beaumont som varnade säkerhetsvärlden för aktivt utnyttjande av ESXi-sårbarheterna CVE-2019-5544 och CVE-2020-3992. I blogginlägget citerades också Kevin Beaumonts nästan profetiska ord "[r]ansomware-grupper ...bypass[ing] all Windows OS-säkerhet, ...stänga ner virtuella maskiner och kryptera VMDK:erna direkt på hypervisorn". Det verkar också som om den ursprungliga korrigeringen av CVE-2020-3992 som släpptes i oktober 2020 var ofullständig. Men patchen från november 2020 verkar ha åtgärdat den ursprungliga sårbarheten fullt ut14.
Om CVE-2020-3992, CVE-2021-21974 och eventuellt CVE-2019-5544 utnyttjades verkar det vara första gången någon utnyttjar dessa i en sådan offentlig skala. Dessa attacker påverkade tillgängligheten för virtuella maskiner på de drabbade värdarna, vilket innebär att angriparna meddelade sig själva mycket högt. Dessa attacker kan ha gått under radarn om angriparna hade varit mer diskreta, till exempel om angriparna bara exfiltrerat data och inte stoppat och krypterat virtuella maskiner.
I ett World Watch Advisory lyfter Orange Cyberdefense CERT också fram en annan potentiell sårbarhet i VMware ESXi, CVE-2022-3169616, som rättades tillsammans med CVE-2022-31697, CVE-2022-31698 och CVE-2022-31699 i december 2022. Den förstnämnda, CVE-2022-31696, kan eventuellt göra det möjligt för en angripare med lokal åtkomst att komma undan sandlådefunktionen som är utformad för att separera virtuella värdar från den underliggande hypervisorn. Om sandlådan kan den lokala angriparen eventuellt få möjlighet att utföra privilegierade åtgärder. Det är oklart om den säkerhetsåtgärd som VMware släppte i december 2022 var föremål för angrepp. Ingen av dessa sårbarheter finns i skrivande stund upptagna i CISA:s KEV-katalog. OCD CERT noterade att en angripare redan måste ha lokal tillgång till ESXi för att kunna utnyttja denna sårbarhet. Detta skulle kräva en kedja av flera steg om attacken skulle ha startats på distans via Internet. Detta gör massutnyttjande på detta högljudda sätt ganska osannolikt, eftersom dessa typer av kedjeexploateringar inte är kännetecknande för typiska brutala ransomware-sangrepp.
Observationer från Vulnerability Operations Center
Orange Cyberdefense Vulnerability Operations Center upptäckte 42 ESXi-värdar som var sårbara för CVE-2021-21974. Dessa värddatorer upptäcktes mellan februari 2021 och oktober 2022. De första sex sårbara värddatorerna upptäcktes den 28 februari 2021, vilket är fyra dagar efter NVD:s publiceringsdatum den 24 februari 2021. De återstående 36 sårbara värdarna upptäcktes mellan november 2021 och oktober 2022. Detta innebär att vissa värddatorer inte hade någon uppdatering i mellan 270 och 590 dagar. Detta förutsätter att värddatorerna har patcherats omedelbart efter upptäckten. Den här specifika sårbarheten påverkade 7% av vår VOC-kundbas. Orange Cyberdefense Ethical Hacking Team utförde 122 bedömningar som klassificerades som antingen interna, externa eller Red Team från den 24 februari 2021 till och med september 2022. Detta är den period då sårbarheten CVE-2021-21974 var allmänt känd och kunde ha upptäckts. Ett detaljerat blogginlägg om sårbarheten publicerades den 25 maj 2021, vilket innebär att om en sårbar ESXi-värd påträffades och fanns inom räckvidden fanns det en möjlighet att den kunde ha utnyttjats med hjälp av den exploateringskod som publicerades på GitHub17 18. Vid denna tidpunkt, med en fullständig förklaring och en exploateringskod, hade 105 bedömningar eventuellt kunnat ge ett potentiellt resultat. Lyckligtvis hade ingen av de kunder som vi bedömde resultat med hänvisning till denna sårbarhet.
Som tidigare nämnts har de rapporterade angreppen en märkbar inverkan på målsystemet. Attackerna resulterade i att filer på ESXi-hypervisorn krypterades efter att angriparen stoppat alla virtuella värdar som kördes. Under den första vågen av attacker hittades också instruktioner om att betala 2 bitcoins till den utsedda plånboken för att få dekrypteringsnycklarna i filer på flera exploaterade ESXi-värdar. Det märkliga var att ingen utpressningsgrupp namngavs i instruktionsfilen.
Ett offer delade med sig av en sådan lösensedel19 på Bleeping Computers forum. Det märkliga är att meddelandet avslutas med vad som ser ut som en möjlig ledtråd: "SSH är påslaget" och "Firewall är inaktiverad". VMware ESXi har en SSH-tjänst som kan aktiveras. Kanske har angriparen tvingat dessa värddatorer med kända eller svaga autentiseringsuppgifter eller utnyttjat en svaghet i OpenSSH? Hänvisningen till den inaktiverade brandväggen kan tyda på att angriparen ansåg att om en brandvägg hade funnits på plats med lämplig konfiguration hade angreppet kunnat förhindras. Det är viktigt att inaktivera eller begränsa fjärråtkomst till alla värdar som är exponerade för Internet, eftersom detta kraftigt begränsar vad angriparna kan göra.
En annan användare av Bleeping Computer-forumet skrev i samma tråd den 8 februari 2023 att en ESXi-värd hade äventyrats trots att "SLP-tjänsten var avstängd "20 . Om detta är fallet är det osannolikt att teorin om OpenSLP-sårbarheten är den enda angreppsvektorn.
Det finns antydningar om ytterligare utpressning i meddelandet om ransomware som delas på Bleeping Computers foruminlägg. Dagarna efter den första vågen av attacker ändrades angriparnas tillvägagångssätt. De uppdaterade sitt meddelande om lösensumma genom att ta bort adressen till deras Bitcoin-plånbok och i stället ange en TOR Onion Site (darkweb). Båda versionerna av ransomware hotar med att dela med sig av de stulna uppgifterna om ingen lösensumma betalas. Den första versionen saknade en typisk negationssajt. Den nyare versionen av ransomware med TOR-webbadressen kan tyda på att angriparna fortfarande håller på att utveckla sin infrastruktur för att anpassa den till vad som har blivit normen vid typiska förhandlingar om cyberutpressning.
I vissa rapporter nämns en ny grupp av ransomware som kallas "Nevada", men inga konkreta bevis som kopplar samman massutnyttjandet av ESXi och gruppen har ännu presenterats. Vi vet dock att cyberutpressningsgrupper utvecklas med tiden. Vissa försvinner medan andra förvandlas till nya grupper.
Under fjärde kvartalet 2022 såg vi faktiskt ett relativt lågt antal hotbildsgrupper som utpressade offerorganisationer runt om i världen - totalt 19 hotbildsgrupper som utpressade 494 organisationer. Senast vi räknade till under 20 aktiva unika hotaktörsgrupper var i början av 2021 - för nästan två år sedan. Trots detta ökade antalet offer under fjärde kvartalet, särskilt under december 2022. Under december lades två nya hotaktörsgrupper "Play" och "Royal" till i vår övervakningsprocess, vilket bidrog till den plötsliga ökningen.
Potentiella hotande aktörer som är involverade
Gruppen ViceSociety ändrade också sin TOR onion address under denna period, vilket ledde till att 19 offer noterades samma dag, så uppgifterna kanske inte representerar det faktiska datumet och klockslaget för dessa offers inlägg.
I mitten av december rapporterade flera källor om en annan ny variant av ransomware kallad "Royal", som dök upp i november i vårt dataset men som sägs ha varit aktiv redan i början av 2022. Man tror att några av de före detta Conti-medlemmarna driver denna Cy-X-verksamhet. I november och december registrerade vi 51 företag som fallit offer för den här gruppen. Offren kom från länder som USA (59%), Kanada (8%), Brasilien (6%), Tyskland (6%) och Österrike (4%), vilket visar den "vanliga" blandningen av utsatta länder.
Även om det totala antalet offer återigen ökade något under fjärde kvartalet, kan vi konstatera en förändring av de aktörer som bidrar till detta hot. Detta är inte ovanligt med tanke på ekosystemets opportunistiska karaktär. Medan vissa grupper av hotaktörer kanske upphör med sin verksamhet, är andra redo att "ta sin del" av offren.
Om vi tittar på de 20 länder som påverkades av detta hot under fjärde kvartalet, är mer än hälften av alla offer baserade i USA. Under fjärde kvartalet såg vi att USA-baserade offer ökade till 51% av det totala antalet offer jämfört med 40% under tredje kvartalet 2022. Det näst mest drabbade landet under Q4 var Kanada med offer från vertikaler som tillverkning (n=7), information (n=4) och grossisthandel (n=3).
Det geografiska perspektivet
Som det framgår av diagrammet ovan var engelsktalande länder de mest drabbade länderna under fjärde kvartalet, tätt följt av offer från Tyskland (n=21), Brasilien (n=17) och Frankrike (n=17). Franska offer har minskat med nästan hälften från Q3 till Q4. En orsak kan vara att LockBit, som orsakade över 80% av de franska offren under Q3, har haft mindre aktivitet under Q4. Medan Brasilien proportionellt sett ligger på femte plats. Under Q4, och särskilt under december 2022, registrerade vi det högsta antalet organisationer från Brasilien som föll offer för cyberutpressning.
För att återgå till ESXiArgs malware. På en teknisk nivå verkade det till en början som om den krypteringsteknik som angriparna använde sig av var kryptografiskt sund, men omfattningen av angriparnas kryptering av filerna kunde potentiellt leda till att data kunde återvinnas. En guide22 publicerades av turkiska forskare för att hjälpa till med eventuell återställning av virtuella värdar. Guiden förutsätter dock en hög nivå av färdigheter och erfarenhet av VMware och är inte något som en nybörjare skulle kunna lyckas med. CISA har publicerat resurser för att hjälpa till med återställning av data och bör vara lättare att genomföra än guiden23 24
Det verkar dock som om angriparna insåg att offren kunde återfå sina data och släppte en ny version av ransomware som krypterar upp till 50% av data om VMware-datafilen är större än 128 MB25 . Anledningen till krypteringen på 50% är att datafiler som representerar den virtuella disken för virtuella datorer kan vara gigabyte om inte terabyte stora. Att kryptera detta kan ta mycket lång tid. Så genom att kryptera diskarna selektivt blir de virtuella diskarna fortfarande obrukbara, men en del av uppgifterna lämnas också intakta. Det är en fråga om tur om de okrypterade uppgifterna är användbara.
Den uppdaterade versionen kan göra det mindre sannolikt att återställning enligt guiden och CISA-verktyget lyckas.
Slutsats
Sammanfattningsvis. VMware och andra har starkt uppmanat användare att installera de senaste säkerhetsfixarna för sina ESXi-värdar som stöds. Om detta inte är möjligt kan man åtminstone inaktivera OpenSLP-tjänsten och begränsa åtkomsten till ESXi-värdar och nödvändiga tjänster. Vissa versioner av ESXi stöds inte längre av VMware och därför finns det inga säkerhetslösningar för kända sårbarheter som utnyttjas. Gör säkerhetskopior av data eftersom detta kan göra det mycket lättare att återställa system. Se till att säkerhetskopior utförs regelbundet och att säkerhetskopiorna är fullständiga.
För mer information om ransomware och hur man ska närma sig detta överhängande hot, läs vårt white paper som vi publicerade om ämnet26.
Källor
- What is a hypervisor? https://www.vmware.com/topics/glossary/content/hypervisor.html
- Objective of the attackers is to encrypt the virtual machines hosted on the impacted ESXi hypervisor as part of a ransomware attack. Initial reports came from the French CERT - https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/ as well as commercial hosting and cloud service provider OVHcloud https://blog.ovhcloud.com/ransomware-targeting-vmware-esxi/
- VMware Security Response Center (vSRC) Response to ‘ESXiArgs’ Ransomware Attacks https://blogs.vmware.com/security/2023/02/83330.html
- VMware issued official updates in late 2020 https://www.vmware.com/security/advisories/VMSA-2020-0023.html and early 2021 https://www.vmware.com/security/advisories/VMSA-2021-0002.html for CVE-2020-3992 and CVE-2021-21974 respectively.
- VMware Security Response Center (vSRC) Response to ‘ESXiArgs’ Ransomware Attacks https://blogs.vmware.com/security/2023/02/83330.html
- Proof-of-concept (PoC) exploits are also readily available for both vulnerabilities GitHub - dgh05t/VMware_ESXI_OpenSLP_PoCs: CVE-2020-3992 & CVE-2019-5544
- RCE PoC walkthrough for (CVE-2021–21974) VMware ESXi OpenSLP heap-overflow vulnerability https://straightblast.medium.com/my-poc-walkthrough-for-cve-2021-21974-a266bcad14b9
- CISA’s Known Exploited Vulnerabilities https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- VMware Security Advisories https://www.vmware.com/security/advisories/VMSA-2019-0022.html
- VMware ESXi OpenSLP Remote Code Execution Vulnerability (CVE-2020-3992 and CVE-2019-5544): What You Need To Know https://www.rapid7.com/blog/post/2020/11/11/vmware-esxi-openslp-remote-code-execution-vulnerability-cve-2020-3992-and-cve-2019-5544-what-you-need-to-know/
- November 2020 patch seems to have fully addressed the original vulnerability https://www.vmware.com/security/advisories/VMSA-2020-0023.html
- World Watch Advisory https://portal.cert.orangecyberdefense.com/worldwatch/678367 , the Orange Cyberdefense CERT also highlighted another potential VMware ESXi vulnerability, CVE-2022-31696 that was fixed along with CVE-2022-31697, CVE-2022-31698, CVE-2022-31699 in December 2022 https://www.vmware.com/security/advisories/VMSA-2022-0030.html
- If a vulnerable ESXi host was encountered and was in scope there existed the possibility that it might have been exploited using the exploit code published on GitHub https://straightblast.medium.com/my-poc-walkthrough-for-cve-2021-21974-a266bcad14b9 & https://github.com/dgh05t/VMware_ESXI_OpenSLP_PoCs
- Victim shared such a ransom note on Bleeping Computer’s forum https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/
- Another user of the Bleeping Computer forum posted on the same thread on February 8, 2023, stating that an ESXi host was compromised even though the “SLP service was turned off https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-31#entry5473353
- A guide was published by Turkish researchers to help with the possible recovery of virtual hosts https://enes.dev/
- CISA have published resources to help with the recovery of data and should be easier to execute than the guide https://www.cisa.gov/uscert/ncas/alerts/aa23-039a & https://www.hackread.com/cisa-esxiargs-ransomware-recovery-tool/
- The attackers realized that victims could recover their data and released a new version of the ransomware that encrypts up to 50% of the data if the VMware data file is larger than 128MB https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/
