Lynx Ransomware: Verbreitung entdeckt

Die Verbreitung der Lynx-Malware - einer bekannten Ransomware-as-a-Service (RaaS)-Bedrohung, die um Juli 2024 auftauchte - wurde kürzlich zum Nachteil von im Inland tätigen Organisationen entdeckt.

Der Erstzugriff erfolgt in der Regel durch Brute-Forcing-Aktivitäten, indem Verwaltungsschnittstellen direkt im Internet ohne Verwendung von MFA für Administrationskonten geöffnet werden, d. h. durch die Ausnutzung bekannter Schwachstellen in Perimetersystemen, die nicht ordnungsgemäß aktualisiert wurden. Dies bedeutet, dass der Angreifer die Möglichkeit hat, IAM-Systemkonfigurationen von solchen Geräten zu übernehmen, was die Extraktion gültiger Anmeldeinformationen ermöglicht, die für spätere laterale Bewegungen innerhalb der Infrastruktur nützlich sind.

Die Optionen für den Verschlüsselungsmodus bieten unterschiedliche Angriffsmöglichkeiten, so dass sich die Malware an verschiedene Strategien anpassen kann:

• schnell: schneller Modus, der nur einen kleinen Teil der Dateien verschlüsselt, begrenzt auf 5 % des gesamten Inhalts;
• mittel: Standardmodus, der 15 % des Dateiinhalts verschlüsselt und einen Kompromiss zwischen Geschwindigkeit und Invasivität bietet;
• langsam: intensiver Modus, der 25 % des Dateiinhalts verschlüsselt, was eine langsamere, aber aufdringlichere Verschlüsselung bedeutet;
• full: total mode, verschlüsselt den gesamten Inhalt der Dateien und macht sie zu einem unzugänglichen Datenblock.

Wie aus dem Verwendungsmenü hervorgeht, zeigt das Argument "--esxi", dass es sich bei der analysierten Variante um eine Version handelt, die speziell für ESXi-Umgebungen entwickelt wurde.

Die Kompromissschritte werden im Folgenden detailliert beschrieben.

Aufzählung der VMs und Entfernung des Backups

Die Verwendung des Arguments "--esxi" bewirkt in erster Linie die Beendigung aller laufenden VMs. Konkret wird eine Reihe von Schritten durchgeführt, um VM-bezogene Prozesse auf einem ESXi-Host zu identifizieren und zu beenden:

for i in $(esxcli vm process list | grep 'World' | grep -Eo '[0-9]{1,8}'); do esxcli vm process kill -t=force -w=$i; done

1. esxcli vm process list: listet alle Prozesse der virtuellen Maschine auf, die derzeit auf dem ESXi-Server laufen. Es werden Details zu den Prozessen zurückgegeben, einschließlich der eindeutigen Bezeichner (World IDs) der VMs;
2. grep 'World': filtert die Ausgabe, indem Zeilen hervorgehoben werden, die das Wort 'World' enthalten, d. h. die den mit den virtuellen Maschinen verbundenen Prozessen entsprechen;
3.grep -Eo '[0-9]{1,8}': Regex, um die numerische ID jedes Prozesses (World ID) zu extrahieren, die die eindeutige Kennung jeder VM ist;
4. esxcli vm process kill -t=force -w=$i: Für jede gefundene World ID erzwingt der Befehl das Schließen des entsprechenden Prozesses:

• Die Option -t=force gibt an, dass der Prozess sofort beendet werden soll;
• die Option -w=$i identifiziert den Prozess (über seine jeweilige Welt-ID), der beendet werden soll.

Anschließend wird ein zweiter Befehl ausgeführt:

for i in $(vim-cmd vmsvc/getallvms | awk '{print $1}' | grep -Eo '[0-9]{1,8}'); do vim-cmd vmsvc/snapshot.removeall $i; done

1. vim-cmd vmsvc/getallvms: ruft eine Liste aller auf dem ESXi-Host registrierten virtuellen Maschinen ab. Die Ausgabe enthält detaillierte Informationen wie die ID der virtuellen Maschine (Vmid), den Maschinennamen und den aktuellen Status der Maschine (z. B. ein- oder ausgeschaltet);
2. awk '{print $1}': extrahiert nur die erste Spalte der Ausgabe, die den eindeutigen numerischen IDs der einzelnen virtuellen Maschinen entspricht;
3. grep -Eo '[0-9]{1,8}': regex, um nur die numerischen IDs (World IDs) aus jedem Ergebnis zu extrahieren. Dieser Schritt stellt sicher, dass nur VM-Kennungen ausgewählt werden, um unnötige Informationen zu vermeiden;
4. vim-cmd vmsvc/snapshot.removeall $i: Entfernt die Snapshots, die mit der VM mit der angegebenen ID verbunden sind.

Verschlüsselung und Ransomware

Nachdem er die VMs auf dem ESXi-Host identifiziert hat, verschlüsselt der bösartige Code sie.

Dazu erstellt er einen symmetrischen Verschlüsselungsschlüssel, indem er einen Zufallszahlengenerator wie z. B. das Gerät /dev/urandom nutzt, das auf Unix-ähnlichen Systemen vorhanden ist und Zufallszahlen mit hoher Entropie liefert. Der generierte Schlüssel wird dann verwendet, um die Dateien des Opfers mit dem AES-128-Algorithmus zu verschlüsseln: Die Erweiterung ".LYNX" wird jeder verschlüsselten Datei hinzugefügt.

Anschließend wird der Curve25519 Donna-Algorithmus verwendet, um den AES-Schlüssel zu verschlüsseln.

Zum Schluss wird eine Lösegeldforderung erstellt, die eine eindeutige ID (zur Identifizierung des Opfers) und Anweisungen zur Kontaktaufnahme mit den Angreifern enthält, um das Entschlüsselungsprogramm zu erhalten, nachdem ein Lösegeld in Kryptowährung gezahlt wurde.

Abhilfemaßnahmen

Benutzer und Organisationen können sich gegen diese Art von Angriffen schützen, indem sie die folgenden Präventivmaßnahmen ergreifen

• Verwendung sicherer Protokolle, z. B. LDAPS anstelle von LDAP, um die Verschlüsselung der Kommunikation und den Schutz der Anmeldedaten zu gewährleisten;
• Anwendung bewährter Verfahren für die Zugriffsverwaltung (IAM), Implementierung von Mehrfaktor-Authentifizierungsmechanismen (MFA), Einführung komplexer Passwörter und Anwendung des Prinzips der geringsten Privilegien
  • Konfiguration von Dienstkonten mit den geringsten erforderlichen Rechten: wenn beispielsweise die Fähigkeit zur Änderung von Passwörtern erforderlich ist, delegieren Sie den Dienstbenutzer zur Durchführung von Schreib- und Änderungsaktionen nur an Organisationseinheiten (OUs), die nicht privilegierte Benutzer enthalten;
  • Richtlinien für die Änderung von Passwörtern, einschließlich manueller Änderungen, für die betreffenden Nutzer des Dienstes vorsehen;
• seinen Plan zur Reaktion auf Zwischenfälle ständig zu überprüfen;
• einen Sicherungsplan umzusetzen, der eine Offline-Datenspeicherung und Verschlüsselung vorsieht;
• Geräte und ihre Steuerungsschnittstellen nicht direkt dem Internet aussetzen;
• den Zugriff auf Ressourcen innerhalb eines Netzes nur Systemadministratoren oder befugtem Personal zu gestatten (z. B. durch Segmentierung);
• Verwendung geeigneter sicherer Fernzugriffssysteme (z. B. VPN-Dienste), um Dienste, die nicht unbedingt erforderlich sind, im Netz zugänglich zu machen.

Maßnahmen zur Reaktion auf Vorfälle

Wenn Benutzer und Organisationen Beweise für eine Kompromittierung ihrer Systeme finden, wird empfohlen, die folgenden Maßnahmen zu ergreifen

• Sammeln Sie alle Beweise, wie z. B. Prozesse/Dienste, die auf den Zielgeräten laufen, Netzwerkprotokolle und Authentifizierungsprotokolle, die als unkonventionell gelten;
• Stellen Sie Hosts, die möglicherweise von der Kompromittierung betroffen sind, in Isolation und/oder offline;
• Wiederherstellung der kompromittierten Hosts mit einem konsistenten früheren Image (nach Durchführung der erforderlichen forensischen Aktivitäten);
• Zurücksetzen der Konten der von der Kompromittierung betroffenen Benutzer;

SOC