[English]Die Forscher von Trend Micro Research haben das Thema LockBit-Ransomware in einer Analyse aufgegriffen. Denn diese Ransomware bedroht inzwischen nicht mehr nur Windows-Systeme. Es gibt bereits Samples, die auch Linux- (ESXi Linux) und VMware ESXi-Instanzen befallen können.
Anzeige
Die Hintermänner der LockBit-Ransomware haben im Oktober 2021 auch Varianten für Linux-Systeme und für VMware ESXi-Umgebungen für ihre "Kundschaft" angekündigt. Das zeigt, dass die Cyberkriminellen auf ein breites Anwendungsfeld abzielen. Inzwischen wurden entsprechende Samples dieser Schadsoftware in freier Wildbahn gefunden.
In obigem Tweet weisen die Trend Micro-Sicherheitsforscher auf die Implikationen dieser Entwicklung hin. Die Forscher haben das Ganze analysiert und in diesem Blog-Beitrag veröffentlicht. Die Lockbit Linux-ESXi Locker Version 1.0 verwendet beispielsweise eine Kombination aus Advanced Encryption Standard (AES) und Elliptic-Curve Cryptography (ECC) Algorithmen zur Datenverschlüsselung. Diese Version der Ransomware verfügt über Protokollierungsfunktionen und kann die folgenden Informationen aufzeichnen:
- Informationen über den Prozessor
- Volumes im System
- Virtuelle Maschinen (VMs) zum Infizieren
- Dateien insgesamt
- VMs insgesamt
- Verschlüsselte Dateien
- Verschlüsselte VMs
- Verschlüsselte Gesamtgröße
- Zeitaufwand für die Verschlüsselung
Diese Variante enthält auch Befehle, die zum Verschlüsseln von VM-Images auf ESXi-Servern erforderlich sind (Details in der Analyse). ESXi bietet Unternehmen eine einfachere Möglichkeit, ihre Server zu verwalten. Das lockt auch Ransomware-Gruppen auf den Plan.
Anzeige
Die Veröffentlichung dieser Variante zeigt die Bemühungen moderner Ransomware-Gruppen, Linux-Hosts wie ESXi-Server ins Visier zu nehmen und zu verschlüsseln. Ein ESXi-Server hostet in der Regel mehrere virtuelle Maschinen, die wiederum wichtige Daten oder Dienste für ein Unternehmen enthalten. Die erfolgreiche Verschlüsselung von ESXi-Servern durch Ransomware könnte daher große Auswirkungen auf die betroffenen Unternehmen haben. Dieser Trend wurde von Ransomware-Familien wie REvil und DarkSide vorangetrieben. Jetzt ist also auch LockBit in der Lage, ESXi Linux-Hosts im Allgemeinen und die ESXi-Plattform im Besonderen anzugreifen.
Anzeige
Moin,
danke für die gesammelten Infos.
Gibt es schon Informationen, welche ESXI Versionen besonders gefährdet sind, bzw. auf welchen Patchstand die Hosts aufweisen sollten?
"Gibt es schon Informationen, welche ESXI Versionen besonders gefährdet sind, bzw. auf welchen Patchstand die Hosts aufweisen sollten?"
Den aktuellen.
Es ist doch völlig egal, wie Ransomware verschlüsselt. Zur Aufdeckung oder Prävention enthält dieser Blogartikel leider gar nichts. Schade, Information wäre nötig. Auch der zitierte Beitrag von TrendMicro enthält keine sinnvoller Information. Stattdessen wird dort massive Werbung für das Schlangenöl dieses Herstellers gemacht.
Der Artikel ist leider nicht sehr hilfreich – eine gerade ausgeführte Google-Suche mit den Suchbegriffen "LockBit ESXi" führt zu gerade einmal 20.100 Ergebnissen, viele Referenzieren ebenfalls auf TrendMicro.
Für mich hat das eher den Eindruck von Clickbait bzw. Werbung, zumal das Thema an sich auch nicht gerade neu ist, siehe z.B. https://blogs.vmware.com/networkvirtualization/2021/03/deconstructing-defray777.html/ (vom 11. März 2021) oder https://www.truesec.com/hub/blog/secure-your-vmware-esxi-hosts-against-ransomware (vom 13. April 2021)!
"Mit Linux wär' das nicht passiert."
So schnell kann die Zeit vergehen. Jaaa, Linux allgemein steht hier erst am Anfang aber Windows auch, einst.
Ich würde grundsätzlich sicherstellen, dass eine aktuelle und unter Support befindliche Version von ESXi auf den Servern läuft. Hier gibt es eine gute Übersicht:
https://www.virten.net/vmware/esxi-release-build-number-history/
https://www.virten.net/vmware/vcenter-release-and-build-number-history/
Zusätzlich sicherstellen, dass auch die Support Packs des Server Herstellers installiert werden, so dass BIOS und andere Firmware auch aktuell sind.
Dazu die HCL prüfen um sicherzustellen, dass die Kombination auch supportet wird:
Alles was Management IP-Adressen sind, also zum Beispiel ein iLO-Boards eines Servers oder Controller Interfaces einer Storage gehört in ein eigenes VLAN, so dass nur PCs aus der IT überhaupt an die Geräte kommen.
Gruß Singlethreaded