Una campaña de ransomware recientemente descubierta ha dirigido entornos ESXI VMware Enterprise con precisión militar, implementando herramientas de cifrado personalizadas que buscan específicamente archivos de disco de máquinas virtuales en los almacenes de datos VMFS.
Los investigadores de seguridad han revertido con éxito la metodología de ataque y han desarrollado técnicas de descifrado de avance, revelando vulnerabilidades críticas en la implementación criptográfica de los actores de amenaza que permitieron la recuperación de datos completa sin el pago de rescate.
Control de llave
1. Darkbit Ransomware se dirige a servidores ESXI VMware.
2. Utiliza el cifrado AES-128-CBC con claves RSA-2048.
3. Los investigadores rompieron el cifrado sin pago de rescate.
Ataques de ransomware Darkbit
Sabía el equipo de respuesta a incidentes informes que el grupo cibercriminal Darkbit lanzó un ataque coordinado contra los servidores ESXI VMware, implementando una sofisticada herramienta de ransomware basada en C ++ diseñada específicamente para cifrar imágenes de disco de máquina virtual.
El malware, identificado como Esxi.Darkbit (SHA256: 0BB1D29EDE51D86373E31485D0E24701558E50856722357372518EDFB98265A1), se dirigió sistemáticamente a los datos de VMFS dirigidos a través de entornos entérprisos.
Los atacantes utilizaron comandos ESXCLI para garantizar que todas las máquinas virtuales se detuvieran antes de comenzar el proceso de cifrado.
El ransomware luego bifurcó múltiples procesos para cifrar archivos simultáneamente, específicamente dirigiendo extensiones, incluidas .vmdk, .vmx, .nvram y otros formatos de archivo específicos de VMware.
Cada archivo encriptado recibió la extensión .Darkbit, lo que hace que los sistemas comerciales críticos sean inoperables.
Los investigadores de seguridad descubrieron que el malware implementa el cifrado AES-128-CBC utilizando la biblioteca de criptografía Crypto ++ ampliamente desplegada.
Datos cifrados finales
El ransomware genera claves AES únicas y vectores de inicialización (IV) para cada archivo, con las teclas simétricas encriptadas posteriormente utilizando una clave pública RSA-2048 codificada integrada dentro del binario.
La ejecución del malware requiere parámetros de línea de comandos específicos: ./esxi.
Durante el análisis, los investigadores encontraron que el proceso de cifrado omite deliberadamente porciones de archivos más grandes, con fragmentos de 0x100000 bytes mientras se omita 0xa00000 bytes para archivos en 6.55mb, y utilizando tamaños de Skip calculados para archivos más grandes basados en (filesize / 0x32)-0x200000.
Las vulnerabilidades críticas surgieron en la implementación del generador de números aleatorios, que sembran utilizando la marca de tiempo actual, el PID de proceso y dos direcciones de pila, creando un espacio de claves finito de aproximadamente 2^39 valores posibles.
Descifrado a través del análisis criptográfico
Los equipos de respuesta a incidentes explotaron con éxito las debilidades en la implementación criptográfica del ransomware para recuperar datos cifrados sin pagar las demandas de rescate.
Los investigadores aprovecharon la estructura de encabezado de archivo VMDK conocida para realizar ataques de fuerza bruta específicos contra las claves AES, utilizando recursos informáticos de alto rendimiento para probar sistemáticamente combinaciones de claves.
El avance se produjo al reconocer que los archivos VMDK contienen bytes mágicos predecibles en sus encabezados, permitiendo un ataque de criptoanálisis contra el primer bloque AES-128-CBC cuando se conocían aproximadamente 50 bits de texto sin formato.
Además, los investigadores descubrieron que muchos archivos críticos seguían accesibles caminando por los sistemas de archivos VMDK internos, ya que la naturaleza escasa de los archivos de disco virtual dejaba datos sustanciales sin cifrar.
La recuperación exitosa destacó fallas de implementación fundamentales en el ransomware Darkbit, lo que demuestra que los algoritmos de cifrado sofisticados se vuelven vulnerables cuando se implementan incorrectamente con una generación de números aleatorios débiles y valores de semillas predecibles.
Equipe a su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
