RansomHub es una operación de Ransomware como servicio (RaaS), con vínculos de código y asociaciones de miembros con los Ransomware ALPHV/BlackCat y Knight.

Desde principios de mayo, se ha confirmado la existencia de un encriptador RansomHub tanto para Windows como para Linux, ambos desarrollados en ‘Go.

La compañía de ciberseguridad «Recorded Future» informa que el grupo de amenazas también emplea un encriptador de Linux diseñado específicamente para cifrar entornos VMware ESXi, desarrollado en C++‘, en ataques dirigidos a empresas.

«Recorded Future» también ha descubierto que la variante ESXi usa un archivo llamado «/tmp/app.pid» para verificar si una instancia ya está en ejecución. Si este archivo existe con un ID de proceso, el Ransomware intenta eliminar ese proceso y luego se cierra. Sin embargo, si el archivo contiene ‘-1’, entra en un bucle infinito intentando matar un proceso inexistente, neutralizándose efectivamente.

Las empresas han adoptado ampliamente el uso de máquinas virtuales para sus servidores, debido a esto casi todos los grupos de Ransomware han desarrollado encriptadores específicos para VMware ESXi con el fin de atacar estos servidores.

El encriptador ESXi de RansomHub ofrece varias opciones de línea de comandos para establecer un retraso en la ejecución, especificar qué máquinas virtuales excluir del cifrado y definir rutas de directorio a atacar.

También incluye comandos y opciones específicas de ESXi, como ‘vim-cmd vmsvc/getallvms’ y ‘vim-cmd vmsvc/snapshot.removeall’ para la eliminación de instantáneas, y ‘esxcli vm process kill’ para apagar máquinas virtuales. Además, desactiva syslog y otros servicios críticos para dificultar el registro y puede configurarse para eliminarse después de la ejecución, evitando así la detección y el análisis.

El esquema de cifrado utiliza ChaCha20 con Curve25519 para generar claves públicas y privadas. Cifra parcialmente los archivos relacionados con ESXi (‘.vmdk‘, ‘.vmx‘, ‘.vmsn‘), para un rendimiento más rápido.

Encripta solo el primer megabyte de archivos de más de 1 MB, repitiendo bloques de cifrado cada 11 MB, y añade un pie de página de 113 bytes a cada archivo cifrado que contiene la clave pública de la víctima, el nonce ChaCha20 y el recuento de fragmentos.

La nota de rescate se escribe en ‘/etc/motd‘ y ‘/usr/lib/vmware/hostd/docroot/ui/index[.]html‘ para que sea visible en las pantallas de inicio de sesión y en las interfaces web.

Fuente:

Linux version of RansomHub ransomware targets VMware ESXi VMs

RansomHub Draws in Affiliates with Multi-OS Capability and High Commission Rates