Các cuộc tấn công ransomware ESXiArgs: Rủi ro và bảo vệ dữ liệu

Thông thường, ransomware tấn công các máy tính vật lý và máy ảo chạy trên Windows, và ít phổ biến hơn trên macOS và Linux. Thật không may, các tội phạm mạng vẫn tiếp tục phát triển các phiên bản ransomware mới có thể lây nhiễm sang các hệ điều hành khác thông qua các lỗ hổng bảo mật mới được phát hiện. Một ví dụ gần đây là cuộc tấn công ransomware ESXi nhắm vào các hypervisor VMware bằng cách khai thác các lỗ hổng của ESXi, dẫn đến tình trạng ngừng hoạt động nghiêm trọng tại các tổ chức trên toàn thế giới.

Bài viết trên blog này giải thích mức độ nguy hiểm của các cuộc tấn công ransomware, cách ransomware có thể lây nhiễm vào một máy chủ ESXi, và cách bảo vệ khỏi ransomware, bao gồm cả ransomware ESXi Args.

Hãy nói không với các vụ tống tiền cùng NAKIVO

Sử dụng bản sao lưu để khôi phục dữ liệu nhanh chóng sau các cuộc tấn công ransomware. Nhiều tùy chọn khôi phục, bộ nhớ cục bộ và đám mây không thể thay đổi, các tính năng tự động hóa khôi phục và nhiều hơn nữa.

KHÁM PHÁ GIẢI PHÁP

Sự khởi đầu của chiến dịch tấn công ransomware nhắm vào ESXi

Các trường hợp tấn công ransomware nhắm vào ESXi đầu tiên được ghi nhận vào tháng 10 năm 2022, khi VMware chấm dứt hỗ trợ chung cho các phiên bản ESXi 6.5 và 6.7. Khoảng số lượng lớn các máy chủ ESXi máy chủ đã bị nhiễm tại Pháp, Đức, Hoa Kỳ, Canada, Vương quốc Anh và các quốc gia khác. Vào tháng 2 năm 2023, đã có hơn 3.000 máy chủ ESXi bị nhiễm với dữ liệu bị mã hóa và không có cách nào để khôi phục. Các tên ransomware đã tấn công máy chủ ESXi là ESXiArgs, Royal và Cl0p. Ngoài ra, các họ ransomware ESXi mới cũng xuất hiện như RansomEXX, Lockbit, BlackBasta, Cheerscrypt, Hive, RedAlert/N13V và các loại khác.

Các máy chủ ESXi là mục tiêu hấp dẫn đối với kẻ tấn công vì ảo hóa máy chủ đã trở nên phổ biến hơn, và nhiều tổ chức sử dụng máy ảo cho môi trường sản xuất của họ. Do đó, các tác giả ransomware đã tập trung vào việc thực hiện các cuộc tấn công ransomware nhắm vào VMware ESXi với hy vọng thu được lợi nhuận khổng lồ. Việc lây nhiễm một máy chủ ESXi cho phép kẻ tấn công mã hóa/phá hủy dữ liệu của nhiều máy ảo đang chạy trên máy chủ đó. Phương pháp này có thể hiệu quả hơn so với việc lây nhiễm các máy ảo, vốn có thể chạy các hệ điều hành khác nhau. Cuộc tấn công ransomware ESXi Args là một trong những cuộc tấn công ransomware lớn nhất nhắm vào các máy chủ không chạy Windows.

Các phiên bản ESXi nào dễ bị tấn công bởi ransomware ESXi?

Ransomware ESXi khai thác các lỗ hổng khác nhau, bao gồm CVE-2022-31699, CVE-2021-21995, CVE-2021-21974, CVE-2020-3992 và CVE-2019-5544.

Phần mềm tống tiền ESXi Args sử dụng CVE-2021-21974 để lây nhiễm vào máy chủ ESXi. Đây là lỗ hổng được phát hiện vào năm 2021 và có thể xảy ra trên các máy chủ ESXi chưa được vá lỗi hoặc cập nhật. Đây là lỗ hổng tràn bộ nhớ đống (heap overflow) trong dịch vụ OpenSLP được chạy trên ESXi. Bản vá cho CVE-2021-21974 đã được phát hành vào ngày 21 tháng 2 năm 2021.

Các phiên bản ESXi sau đây dễ bị tấn công bởi CVE-2021-21974:

• ESXi 7.x trước phiên bản ESXi70U1c-17325551
• ESXi 6.7.x trước phiên bản ESXi670-202102401-SG
• ESXi 6.5.x trước phiên bản ESXi650-202102101-SG

Tại sao lại có nhiều máy chủ chưa được vá lỗi và tại sao chúng lại có thể truy cập từ internet? Việc vá lỗi yêu cầu máy chủ ESXi phải ngừng hoạt động, và với số lượng máy chủ lớn, một số quản trị viên có thể không có đủ nguồn lực hoặc thời gian để vá lỗi kịp thời. Ngoài ra, các lỗ hổng ESXi không bị khai thác rộng rãi trước cuộc tấn công ransomware ESXi Args. Điều này tạo ra ảo tưởng rằng các máy chủ ESXi chưa được vá lỗi không phải là mối đe dọa, và việc vá lỗi máy chủ diễn ra chậm chạp. Các máy chủ ESXi đang hoạt động tại các công ty cung cấp dịch vụ lưu trữ cũng đã bị nhiễm phần mềm tống tiền ESXi Args. Các nhà cung cấp dịch vụ lưu trữ cung cấp hạ tầng cho khách hàng, và khách hàng cài đặt các trình ảo hóa ESXi để chạy các máy ảo. Những máy chủ ESXi này đã bị khách hàng kết nối trực tiếp với internet, tạo điều kiện cho kẻ tấn công xâm nhập. Những kẻ tấn công muốn nạn nhân phải trả khoảng 23.000 đô la bằng bitcoin.

Ransomware ESXi hoạt động như thế nào?

Tội phạm mạng tìm kiếm các máy chủ ESXi dễ bị tấn công, đặc biệt là những máy chủ được kết nối với internet. Phương pháp tấn công này đã được xác minh là khai thác lỗ hổng OpenSLP, có thể là CVE-2021-21974. Cổng 427 (TCP/UDP) được sử dụng cho OpenSLP. Các bản ghi cho thấy sự tham gia của người dùng dcui trong quá trình xâm nhập này. Lỗ hổng ransomware ESXi này cho phép kẻ tấn công thực thi mã tùy ý từ xa.

Quá trình mã hóa sử dụng khóa công khai do phần mềm độc hại triển khai, nằm tại /tmp/public.pem . Cụ thể, quá trình mã hóa này nhắm vào các tệp máy ảo, bao gồm các loại tệp như “.vmdk”, “.vmx”, “.vmxf”, “.vmsd”, “.vmsn”, “.vswp”, “.vmss”, “.nvram” và các tệp có phần mở rộng “.vmem”. Lưu ý rằng tệp “. vmdk ” là tệp mô tả đĩa ảo và “- flat.vmdk ” là tệp tệp đĩa ảo chứa dữ liệu máy ảo. Phần mềm tống tiền ESXi Args tạo tệp “. args ” cho mỗi tệp được mã hóa kèm theo metadata (có thể, tác giả phần mềm tống tiền cho rằng các tệp “. args ” có thể cần thiết cho quá trình giải mã).

Dưới đây là trình tự chi tiết:

1. Khi máy chủ bị xâm nhập, các tệp sau sẽ được đặt trong thư mục /tmp :
   • encrypt đại diện cho trình mã hóa thực thi ở định dạng ELF.
   • encrypt.sh đóng vai trò là logic hoạt động cho cuộc tấn công. Đây là một tập lệnh shell thực hiện các hành động khác nhau trước khi chạy trình mã hóa, như được nêu dưới đây.
   • public.pem là khóa công khai RSA được sử dụng để mã hóa khóa chịu trách nhiệm mã hóa tệp.
   • motd là một thông báo tống tiền dạng văn bản được sao chép vào /etc/motd , đảm bảo nó được hiển thị khi đăng nhập. Tệp gốc trên máy chủ sẽ được lưu giữ dưới dạng /etc/motd1 .
   • index.html là phiên bản HTML của thông báo tống tiền được thiết kế để thay thế trang chủ của VMware ESXi. Tệp máy chủ ban đầu cần được sao lưu dưới dạng “ index1.html ” trong cùng một thư mục.
2. Công cụ mã hóa được khởi chạy thông qua một tập lệnh shell, tập lệnh này sẽ gọi công cụ với một mảng các tham số dòng lệnh. Các tham số này bao gồm tệp khóa công khai RSA, tệp đích cần mã hóa, các phần dữ liệu cần giữ nguyên, kích thước khối mã hóa và tổng kích thước tệp.

   Cách sử dụng: encrypt < public_key > < file_to_encrypt > [<enc_step>] [<enc_size>] [<file_size>]

   Trong đó:

   • enc_step là số MB cần bỏ qua khi mã hóa tệp
   • enc_size là kích thước khối mã hóa tính bằng MB
   • file_size là kích thước tệp tính bằng byte (đối với tệp thưa)
3. Việc khởi chạy trình mã hóa này được thực hiện thông qua encrypt.sh kịch bản shell, đóng vai trò là logic nền tảng cho cuộc tấn công. Sau khi khởi động, tập lệnh sẽ thực hiện các hành động sau đây, được giải thích ngắn gọn dưới đây.
4. Tập lệnh ransomware ESXi thực thi một lệnh để sửa đổi các tệp cấu hình của các máy ảo ESXi (. vmx ) bằng cách thay thế các xuất hiện của “. vmdk ” và “. vswp ” bằng “ 1.vmdk ” và “ 1.vswp “, tương ứng.
5. Tiếp theo, skript ransomware buộc ngừng tất cả các máy ảo đang hoạt động bằng cách thực thi lệnh “ kill -9 ” để dừng các tiến trình chứa từ “ vmx “.
6. Ransomware cố gắng tắt các máy ảo bằng cách kết thúc tiến trình VMX để giải phóng các tệp bị khóa và sửa đổi chúng. Tuy nhiên, chức năng này không hoạt động nhất quán như mong đợi, dẫn đến một số tệp vẫn bị khóa. Sau khi sửa đổi các tệp VM, các máy ảo sẽ không thể sử dụng được.
7. Tập lệnh tiếp tục truy xuất danh sách các khối lượng ESXi bằng lệnh:

   esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F' ' '{print $2}

   Với lệnh này, ransomware quét các khối lượng này để tìm các tệp có phần mở rộng tệp cụ thể.

8. Đối với mỗi tệp được phát hiện, skript tạo ra tệp tương ứng [file_name].args trong cùng thư mục. Tệp này .args chứa các thông số đã tính toán, bao gồm bước (thường là ‘1’) và kích thước tệp. Ví dụ, nếu tệp là “ VM01.vmx “, tệp liên quan “ VM01.vmx.args ” sẽ được tạo ra. Phần mềm độc hại tạo ra một tệp “argsfile” để lưu trữ các tham số được truyền vào tệp nhị phân đã mã hóa, bao gồm các thông tin như số megabyte cần bỏ qua, kích thước khối mã hóa và kích thước tệp.
9. Sau đó, tập lệnh sử dụng tệp thực thi “ encrypt ” để mã hóa các tệp dựa trên các tham số đã tính toán.
10. Sau khi mã hóa, skript thay thế tệp “ index.html ” của ESXi và tệp “ motd ” của máy chủ bằng các thông điệp tống tiền đã đề cập trước đó.

    Không có bằng chứng về việc dữ liệu bị chuyển ra ngoài (rút dữ liệu). Trong một số trường hợp, quá trình mã hóa tệp có thể chỉ thành công một phần, cho phép nạn nhân có thể khôi phục một phần dữ liệu.

    Khi quá trình lây nhiễm và sửa đổi/mã hóa dữ liệu hoàn tất thành công, một thông báo tống tiền như sau sẽ được hiển thị trên trang HTML:

    “ Cảnh báo an ninh! Chúng tôi đã xâm nhập thành công vào công ty của bạn.

    …

    Gửi tiền trong vòng 3 ngày, nếu không chúng tôi sẽ công khai một số dữ liệu và tăng giá .”

11. Sau đó, skript thực hiện các tác vụ dọn dẹp, bao gồm xóa nhật ký và gỡ bỏ cửa hậu Python nằm tại /store/packages/vmtools.py . Nó cũng loại bỏ các dòng cụ thể khỏi một số tệp:
    • /bin/hostd-probe.sh
    • /var/spool/cron/crontabs/root
    • /etc/rc.local.d/local.sh
    • /etc/vmware/rhttpproxy/endpoints.conf

    Một lưu ý quan trọng được đưa ra, khuyến cáo các quản trị viên kiểm tra xem tệp “ vmtools.py ” có tồn tại trên máy chủ ESXi hay không. Nếu tìm thấy, nên xóa ngay lập tức.

12. Cuối cùng, skript thực thi “/sbin/auto-backup.sh ” để cập nhật cấu hình được lưu trong tệp “/bootbank/state.tgz ” và kích hoạt SSH.

Ngoài ra, đã có thông tin cho thấy lỗ hổng này, cùng với các lỗ hổng khác trên ESXi, đang bị các nhóm ransomware khác ngoài ESXiArgs khai thác tích cực.

LƯU Ý: Hành vi của ransomware VMware ESXi có thể thay đổi theo các phiên bản cập nhật của ransomware và các bản phát hành ransomware mới.

Cách khôi phục dữ liệu sau khi bị tấn công bởi ransomware ESXi Args

Không có lỗ hổng nào trong cơ chế mã hóa cho phép bạn giải mã các tệp đã bị mã hóa. Tuy nhiên, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã tạo ra một tập lệnh có thể giúp khôi phục các máy ảo. Điểm tích cực là các tệp máy ảo (VM), bao gồm tệp mô tả đĩa ảo (. vmdk ), đã được mã hóa, nhưng tệp -flat.vmdk (nơi lưu trữ dữ liệu máy ảo) thì không. Điều này giúp việc khôi phục máy ảo trở nên khả thi.

CISA đã giới thiệu một tập lệnh khôi phục được thiết kế để hỗ trợ các tổ chức bị ảnh hưởng bởi ransomware ESXi Args. Loại ransomware này nhắm mục tiêu cụ thể vào các máy chủ ESXi, mã hóa các tệp cấu hình của chúng và có khả năng khiến các máy ảo (VM) không hoạt động. Mặc dù công cụ này được phát triển phối hợp với VMware, nhưng nó không được VMware hỗ trợ trực tiếp. Nếu khách hàng gặp bất kỳ sự cố nào trong khi sử dụng công cụ này, họ được khuyến khích báo cáo sự cố trên GitHub tại địa chỉ này: https://github.com/cisagov/ESXiArgs-Recover/issues.

CISA cam kết giải quyết và xử lý các vấn đề kịp thời. Để biết thêm chi tiết về cách sử dụng tập lệnh, vui lòng tham khảo liên kết này.

Bạn cũng có thể tải xuống tài liệu PDF với các hướng dẫn.

Nếu bạn có dấu hiệu cho thấy máy chủ ESXi đã bị nhiễm ransomware ESXi, hãy xem xét các biện pháp sau:

• Ngắt kết nối máy chủ ESXi bị nhiễm khỏi mạng.
• Đừng trả tiền chuộc. Trả tiền chuộc sẽ thưởng cho tội phạm mạng và khuyến khích họ tạo ra nhiều ransomware hơn để kiếm thêm tiền. Nếu bạn trả tiền chuộc, không có gì đảm bảo rằng các tệp bị hỏng do ransomware VMware ESXi sẽ được khôi phục.
• Báo cáo vụ tấn công ransomware. Việc báo cáo ransomware rất quan trọng vì nó giúp phản ứng nhanh chóng, tuân thủ pháp luật, bảo vệ dữ liệu, xây dựng niềm tin, giảm thiểu mối đe dọa và phòng thủ tập thể chống lại các cuộc tấn công mạng. Báo cáo vụ tấn công ransomware là một phần cơ bản của quản lý sự cố an ninh mạng. Điều này không chỉ giúp các tổ chức riêng lẻ phục hồi sau các cuộc tấn công mà còn góp phần vào an ninh và khả năng phục hồi tổng thể của hệ sinh thái kỹ thuật số.
• Kiểm tra xem có công cụ khôi phục hoặc giải mã nào dành cho phiên bản ransomware hiện tại hay không.
• Nếu không có công cụ giải mã, hãy khôi phục dữ liệu từ bản sao lưu (bạn phải có bản sao lưu được tạo trước khi xảy ra cuộc tấn công ransomware để sử dụng phương pháp này). Đôi khi, việc khôi phục máy ảo (VM) từ bản sao lưu có thể hiệu quả hơn. Hãy xem xét việc Cài đặt mới ESXi và sao chép các máy ảo đã khôi phục sang máy chủ ESXi mới đó để đảm bảo không có bất kỳ phần nào của mã độc tống tiền trên máy chủ nơi đặt các máy ảo đã khôi phục.

Cách bảo vệ ESXi khỏi mã độc tống tiền

Thực hiện theo các khuyến nghị dưới đây để bảo vệ ESXi khỏi mã độc tống tiền:

• Hãy cập nhật bản vá cho các máy chủ ESXi có các lỗ hổng bảo mật như CVE-2021-21974, CVE-2022-31699, CVE-2021-21995, CVE-2020-3992 và CVE-2019-5544. Nếu phiên bản ESXi của bạn không còn được hỗ trợ, hãy cân nhắc cập nhật lên một phiên bản chính được hỗ trợ. Nếu bạn không thể cập nhật ESXi, hãy vô hiệu hóa dịch vụ Tắt OpenSLP (Service Location Protocol) trên ESXi. Việc vô hiệu hóa dịch vụ có lỗ hổng bảo mật đối với phiên bản ESXi bị ảnh hưởng cũng có thể giúp ích.
• Cài đặt các bản vá bảo mật (cập nhật) trên máy chủ ESXi thường xuyên để bảo vệ khỏi các mối đe dọa mới nhất.
• Không để máy chủ ESXi tiếp xúc trực tiếp với internet. Nếu quy trình làm việc yêu cầu máy chủ ESXi phải truy cập được từ internet bởi nhân viên và đối tác, hãy cấu hình máy chủ VPN và tường lửa. Cấu hình tường lửa để chỉ cho phép truy cập từ các địa chỉ IP đáng tin cậy. Kết nối vào mạng qua VPN để truy cập máy chủ ESXi là an toàn trong trường hợp này.
• Vô hiệu hóa truy cập SSH nếu không cần thiết hoặc thiết lập thời gian chờ.
• Vô hiệu hóa SMB v1.0 và các phiên bản cũ của giao thức, đặc biệt nếu chúng không được sử dụng.
• Sử dụng phân đoạn mạng cho các mạng, bao gồm Mạng quản lý ESXi.
• Sử dụng mật khẩu mạnh với ít nhất 8 ký tự, bao gồm chữ thường, chữ hoa, số và ký tự đặc biệt.
• Cài đặt và cấu hình giám sát hạ tầng để theo dõi lưu lượng mạng và tải máy chủ. Việc giám sát cho phép bạn phát hiện kịp thời các hoạt động đáng ngờ hoặc độc hại.
• Hướng dẫn người dùng về cách bảo vệ chống lại ransomware và đảm bảo rằng họ biết phải làm gì nếu nghi ngờ có cuộc tấn công hoặc nỗ lực tấn công ransomware xảy ra.
• Cấu hình bảo vệ email chống phần mềm độc hại vì việc gửi các liên kết hoặc tệp độc hại qua email là phương pháp phổ biến để lây nhiễm ransomware vào máy tính. Vô hiệu hóa các liên kết siêu văn bản hoạt động trong tin nhắn email.
• Cài đặt phần mềm diệt virus trên máy tính của người dùng và máy chủ. Cập nhật thường xuyên cơ sở dữ liệu của phần mềm diệt virus.
• Sao lưu các máy ảo thường xuyên và sử dụng Chiến lược sao lưu 3-2-1. Đừng quên có một bản sao lưu không thể thay đổi hoặc bản sao lưu cách ly mạng (air-gapped) để đảm bảo bản sao lưu này không bị ảnh hưởng trong trường hợp xảy ra tấn công ransomware. Việc có một Sao lưu ESXi và Sao lưu vCenter có thể giúp tiết kiệm thời gian khi khôi phục dữ liệu và tải công việc.
• Chuẩn bị một kế hoạch ứng phó sự cố và thông báo cho mọi người biết phải làm gì trong trường hợp xảy ra tấn công ransomware trên ESXi.
• Tạo một kế hoạch khắc phục thảm họa để đảm bảo bạn có thể khôi phục dữ liệu và khôi phục tải công việc trong các tình huống khác nhau. Việc kiểm tra bản sao lưu và kiểm tra khôi phục sau thảm họa là rất quan trọng.

Kết luận

Phần mềm tống tiền nhắm vào ESXi có thể gây hậu quả nghiêm trọng vì bạn có thể mất nhiều máy ảo (VM) ngay cả khi chỉ có một máy chủ ESXi bị nhiễm. Sao lưu dữ liệu là chiến lược hiệu quả nhất để tránh mất dữ liệu trong trường hợp bị tấn công bởi phần mềm tống tiền. Hãy tuân thủ các khuyến nghị về cách bảo vệ ESXi khỏi phần mềm tống tiền đã được đề cập ở phần trên trong bài viết này. Sử dụng NAKIVO Backup & Replication để sao lưu các máy ảo (VM) trên các máy chủ VMware ESXi vào các kho lưu trữ không thể thay đổi. Bằng cách này, bạn có thể sử dụng các bản sao lưu chống ransomware này để khôi phục nhanh chóng toàn bộ máy ảo hoặc dữ liệu ứng dụng.

Hãy thử NAKIVO Backup & Replication

Đăng ký dùng thử miễn phí để khám phá toàn bộ các tính năng bảo vệ dữ liệu của giải pháp. 15 ngày miễn phí. Không có bất kỳ giới hạn nào về tính năng hay dung lượng. Không cần thẻ tín dụng.

Dùng thử miễn phí