Sophistiqué et personnalisable, le ransomware Qilin est prêt à chiffrer les VM des serveurs VMware ESXi
Un nouvel échantillon du ransomware Qilin a été repéré ! Il étonne, car il utilise des techniques avancées sur les serveurs VMware ESXi et il propose de nombreuses options permettant de personnaliser le processus de chiffrement des machines virtuelles. Faisons le point sur cette menace.
De nos jours, la majorité des gangs de ransomware ont un logiciel malveillant capable de chiffrer les machines virtuelles des hyperviseurs, notamment ceux des serveurs VMware ESXi, très populaire en entreprise. Le ransomware Qilin qui fait l'objet de cet article en fait partie.
Le chercheur en sécurité MalwareHunterTeam a identifié un nouveau module de chiffrement pour Linux, au format ELF64, capable de chiffrer les systèmes Linux, FreeBSD et VMware ESXi. Ce n'est pas étonnant puisque le système VMware ESXi est basé sur Linux. D'ailleurs, l'échantillon analysé par les chercheurs en sécurité montre clairement que cette version de Qilin a une obsession principale : chiffrer les machines virtuelles et détruire les snapshots.
Ce qui a étonné le chercheur en sécurité, c'est la quantité d'options disponibles pour permettre à l'attaquant de personnaliser l'opération de chiffrement. En effet, bien que le ransomware Qilin intègre une configuration par défaut pour déterminer l'extension des fichiers chiffrés, les processus à terminer, les fichiers et les dossiers à inclure ou à exclure, il prend en charge de nombreux arguments en ligne de commande. Ainsi, grâce à ces arguments, le cybercriminel peut ajuster la valeur des options de Qilin et modifier son comportement.
Parmi ces options, il y a celles pour personnaliser le chiffrement des VM et des snapshots, mais également un mode débogage ainsi qu'un mode "simulation" pour tester l'opération de chiffrement sans altérer les fichiers.
D'après le site BleepingComputer, le ransomware Qilin cherche à chiffrer les données contenues dans de nombreux dossiers dont "/var/lib/vmware", "/var/vm", mais également des dossiers à d'autres applications Linux : /var/lib/libvirt, /var/lib/redis, /var/lib/elasticsearch, /var/opt/xen, etc. En fait, le ransomware s'adapte en fonction de l'environnement détecté.
Il exécute également un ensemble de commandes spécifiques, que voici :
for I in $(esxcli storage filesystem list |grep 'VMFS-5' |awk '{print $1}'); do vmkfstools -c 10M -d eagerzeroedthick $I/eztDisk > /dev/null; vmkfstools -U $I/eztDisk > /dev/null; done
for I in $(esxcli storage filesystem list |grep 'VMFS-5' |awk '{print $1}'); do vmkfstools -c 10M -d eagerzeroedthick $I/eztDisk; vmkfstools -U $I/eztDisk; done
for I in $(esxcli storage filesystem list |grep 'VMFS-6' |awk '{print $1}'); do vmkfstools -c 10M -d eagerzeroedthick $I/eztDisk > /dev/null; vmkfstools -U $I/eztDisk > /dev/null; done
for I in $(esxcli storage filesystem list |grep 'VMFS-6' |awk '{print $1}'); do vmkfstools -c 10M -d eagerzeroedthick $I/eztDisk; vmkfstools -U $I/eztDisk; done
esxcfg-advcfg -s 32768 /BufferCache/MaxCapacity
esxcfg-advcfg -s 20000 /BufferCache/FlushInterval
Ces instructions seraient issues du site de support de VMware ESXi et elles permettraient d'améliorer les performances lorsque des commandes sont exécutées depuis l'hyperviseur en lui-même.
Avant de procéder au chiffrement des données, le ransomware Qilin stoppe toutes les machines virtuelles puis il supprime l'ensemble de snapshots grâce à une série de commandes. In fine, tous les fichiers ciblés sont chiffrés et héritent de l'extension configurée dans les paramètres de Qilin. Dans chaque dossier, une note de rançon est déposée.
Il est clair que cette version du ransomware Qilin est sophistiquée et personnalisable en comparaison de ce que l'on peut avoir l'habitude de voir !