I ricercatori di sicurezza di Trend Micro hanno osservato una nuova variante Linux della famiglia di ransomware TargetCompany. Questa prende di mira gli ambienti VMware ESXi utilizzando uno script shell personalizzato per fornire ed eseguire payload dannosi. Conosciuta anche come Mallox, FARGO e Tohnichi, la campagna TargetCompany è emersa nel giugno 2021 e si è concentrata su attacchi ai database (MySQL, Oracle, SQL Server). Le organizzazioni principalmente colpite hanno sede in Taiwan, Corea del Sud, Tailandia e India. Nel febbraio 2022, Avast ha rilasciato uno strumento di decrittazione gratuito che copriva le varianti rilasciate fino a quella data. Tuttavia, a settembre i cybercriminali hanno poi preso di mira i server Microsoft SQL vulnerabili, minacciando le vittime di divulgare dati rubati su Telegram. In un recente report Trend Micro ha affermato che la nuova variante Linux del ransomware TargetCompany si assicura di avere i privilegi amministrativi prima di colpire.
TargetCompany: come avviene l’attacco della variante Linux del ransomware
Per scaricare ed eseguire il payload dannoso, l'autore della minaccia utilizza uno script personalizzato che può anche esfiltrare i dati su due server separati. Il payload verifica poi se viene eseguito in un ambiente VMware ESXi eseguendo il comando "uname" e cercando "vmkernel". Successivamente, viene creato un file "TargetInfo.txt" e inviato al server di comando e controllo (C2). Questo contiene informazioni sulla vittima come nome host, indirizzo IP, dettagli dell’OS, utenti e privilegi che hanno effettuato l'accesso, identificatori univoci e dettagli sui file e sulle directory crittografati. Il ransomware crittograferà i file con estensioni relative alla VM (vmdk, vmem, vswp, vmx, vmsn, nvram), aggiungendo l'estensione ".locked" ai file risultanti. Infine, viene rilasciata una richiesta di riscatto denominata “HOW TO DECRYPT.txt”. Questa contenente istruzioni per la vittima su come pagare il riscatto e recuperare una chiave di decrittazione valida.
Completate le attività, lo script della shell elimina il payload utilizzando il comando "rm -f x". Ciò rimuove tutte le tracce dalle macchine colpite. Trend Micro attribuisce gli attacchi di TargetCompany a un affiliato chiamato "vampire". Gli indirizzi IP utilizzati per consegnare il payload e accettare il file di testo con le informazioni sulla vittima sono stati ricondotti a un provider ISP in Cina. Tuttavia, ciò non è sufficiente per determinare la provenienza dell’aggressore. Di solito, TargetCompany si concentrava su dispositivi Windows. Tuttavia, ma il rilascio della variante Linux e il passaggio alla crittografia delle macchine VMWare ESXi mostrano l'evoluzione della campagna. Per evitare problemi, Trend Micro raccomanda di attivare l'autenticazione a più fattori, effettuare backup e aggiornamenti frequenti del sistema. I ricercatori forniscono infine un elenco di indicatori di compromissione con hash per la versione del ransomware Linux, lo script di shell personalizzato ed esempi relativi all'affiliato "vampire".