Сразу две вымогательские программы получили новые функции, позволяющие им атаковать гипервизоры VMware ESXi и шифровать файлы на виртуальных машинах.

К счастью, атаки сами по себе не позволяют взломать ESXi (успешная атака на гипервизор первого типа означала бы компрометацию хоста), сообщают эксперты ИБ-компании CrowdStrike. Операторы вымогательского ПО, полагаются на обнаружение учетных данных для доступа к серверам vCenter, использующимся для управления ESXi и виртуальными машинами.

Получив доступ к учетным данным путем извлечения их из браузера или памяти хоста, злоумышленники записывают Linux-версию Defray777 в /tmp/, используя имя файла легитимного инструмента (например, svc-new).

После запуска вредонос перечисляет системную информацию и процессы на хосте ESXi. Группировка также знает достаточно о VMware и ESXi, чтобы попытаться удалить VMware Fault Domain Manager – инструмент для автоматической перезагрузки отказавших виртуальных машин.

Вымогательское ПО Darkside шифрует некоторые форматы файлов, используемые ESXi.

«Если атаки вымогательского ПО на серверы ESXi будут успешными и впредь, вполне вероятно, что в среднесрочной перспективе больше злоумышленников начнут атаковать инфраструктуру виртуализации», - считают в CrowdStrike.

Источник: securitylab.ru