Qilin ransomware napada VMware ESXi
Zlonamjerni akteri koji stoje iza Qilin ransomware zlonamjernog softvera napadaju VMware ESXi hipervizore sa novom verzijom ransomware zlonamjernog softvera koja bi mogla biti jedan od najnaprednijih i najprilagodljivijih Linux enkriptora do sada.
UVOD
Poslovne organizacije sve više upotrebljavaju virtuelne mašine za pokretanje svojih servera, jer tako dobijaju bolje iskorištenje procesora, memorije i resursa za skladištenje. Prateći ovaj trend, skoro svi zlonamjerni akteri su prilagodile svoje ransomware zlonamjerne softvere za napad na VMware ESXi hipervizore.
I dok je većina zlonamjernih aktera koristila javno objavljeni programski kôd Babuk ransomware zlonamjernog softvera za enkriptore, zlonamjerni akteri koji stoje iza imena Qilin su napravili svoj enkriptor za ciljanje Linux servera.
QILIN NAPADA VMWARE ESXI
Qilin enkriptor se može primjenjivati na Linux, FreeBSD i VMware ESXi serverima, sa glavnim naglaskom na šifrovanje virtuelnih mašina i brisanje njihovih snimaka (eng. snapshots). On je izgrađen sa ugrađenom konfiguracijom koja određuje ekstenziju za šifrovane datoteke, procese koje treba prekinuti, datoteke koje treba šifrovati ili isključiti i fascikle koje treba šifrovati ili isključiti.
Qilin enkriptor također uključuje brojne argumente komandne linije koji omogućavaju opsežno prilagođavanje ovih opcija konfiguracije i načina na koji se datoteke šifruju na serveru. Ovi argumenti komandne linije uključuju opcije za omogućavanje režima za otklanjanje grešaka, izvođenje suvog rada bez šifrovanja datoteka ili prilagođavanje načina na koji su virtuelne mašine i njihovi snimci šifrovani.
PORIJEKLO QILIN ZLONAMJERNOG AKTERA
Qilin ransomware grupa radi po modelu ransomware kao usluga (eng. ransomware-as-a-service – RaaS), a poznata je još i pod imenom “Agenda”. Ova ransomware grupa se pojavila u julu 2022. godine napadajući zdravstvene organizacije, tehnološke kompanije i druge poslovne organizacije širom svijeta.
Od trenutka kada se pojavila, ova grupa je napala najmanje 12 organizacija iz Kanade, SAD, Kolumbije, Francuske, Holandije, Srbije, Velike Britanije i Japana. Uočeno je da grupa naznačila svojim pretplatnicima da neće napasti zemlje Zajednice nezavisnih država (Azerbejdžan, Bjelorusija, Jermenija, Kazahstan, Kirgistan, Moldavija, Rusija, Tadžikistan i Uzbekistan).
Qilin ransomware grupa se razlikuje od drugih grupa, jer je njen ransomware zlonamjerni softver napisan u Rust i Go programskim jezicima što ga čini raznovrsnijim i težim za analizu i otkrivanje. Posebno je zanimljiva i efikasna Rust varijanta koja zbog svojih kvaliteta ima mogućnost izbjegavanja i teško ju je dešifrovati. Pored toga ona je zbog Rust programskog jezika laka za prilagođavanje zlonamjernog softvera za Windows, Linux i ESXi verzije.
Prema dostupnim izvještajima, ova grupa uzima 80% uplate do 3 miliona američkih dolara, odnosno 85% uplate ako je iznos veći od 3 miliona američkih dolara.
ZAKLJUČAK
Qilin ransomware grupa je postala poznata zbog ciljanja organizacija u kritičnim sektorima, ali treba imati na umu da ona predstavlja prijetnju svim poslovnim organizacijama. Partnerski program po modelu ransomware kao usluga ne samo da dodaj nove članove u svoju mrežu, već ih naoružava nadograđenim alatima, tehnikama, pa čak i pružanjem podrške. Imajući to u vidu, apsolutno je neophodno da poslovne organizacije sada preduzmu konkretne korake kako bi svoje kritične operacije i podatke održali potpuno sigurnim.
ZAŠTITA
Kako bi se korisnici i poslovne organizacije zaštitili od napada Qilin ransomware grupe potrebno je pratiti slijedeće preporuke:
- Autentifikacija u više koraka (eng. multi-factor authentication – MFA) i i rješenja za pristup zasnovana na akreditivima pomažu poslovnim organizacijama da obezbijede svoju kritičnu imovinu i visokorizične korisnike, što otežava napadačima da budu uspješni.
- Procese pravljenja rezervnih kopija podataka treba redovno sprovoditi, jer pomažu organizacijama da izbjegnu gubitak podataka nakon ransomware napada i pomažu njihovom poslovanju da smanje štetu.
- Qilin ransomware grupa se oslanja na ciljane phishing napade (eng. spear phishing) kao bi dobila pristup mrežama svojih žrtava, zbog čega je potrebno da korisnici budu oprezni kada rukuju prilozima elektronske pošte, posjećuju sumnjive Internet lokacije ili preuzimaju datoteke iz nepouzdanih izvora.
- Qilin ransomware je napisan u Rust programskom jeziku koji je teži za otkrivanje antivirusnim rješenjima. Zbog toga je potrebno koristi provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju kao što je softver za prošireno otkrivanje i odgovor (eng. Extended detection and response – XDR) za efikasnu identifikaciju i sprečavanje zlonamjerne aktivnosti.
- Redovno primjenjivati ažuriranja, jer što je duže ranjivost dostupna za eksploataciju, veći je rizik da će biti iskorištena. Sigurnosna ažuriranja bi trebala imati prioritet.
- Edukacija zaposlenih o rizicima koji se odnose na mrežu, uređaje i infrastrukturu poslovne organizacije mogu značajno pomoći u prevenciji napada, jer ljudski faktor ostaje jedna od najvećih ranjivosti u sajber bezbjednosti. Redovne obuke zaposlenih mogu pomoći u identifikaciji i prijavi sajber napada.
Na kraju preporuka je da se u slučaju uspješnog ransomware napada ne plaća otkupnina. Sajber kriminalci su finansijski motivisani da natjeraju svoje žrtve da plate više. Čak i ako jedan napadač vrati podatke, drugi će veoma brzo biti svjesni spremnosti poslovne organizacije da plati otkupninu, što će dovesti do povećanja broja pokušaja napada na istu.