TargetCompany 2.0: el ransomware zombie apunta a VMware ESXi

Especialistas de Trend Micro han descubierto una nueva versión del ransomware TargetCompany, dirigida a VMware ESXi. Los atacantes utilizan un script personalizado para entregar y ejecutar el software malicioso.

TargetCompany (Mallox, FARGO, Tohnichi) apareció por primera vez en junio de 2021 y se especializa en ataques a bases de datos MySQL, Oracle y SQL Server, principalmente en Taiwán, Corea del Sur, Tailandia e India. En febrero de 2022, Avast lanzó un descifrador gratuito para versiones anteriores del ransomware.

Según el informe de Trend Micro, la nueva variante de Linux de TargetCompany requiere privilegios administrativos antes de comenzar sus actividades maliciosas. Para descargar y ejecutar el ransomware, los atacantes utilizan un script personalizado que también puede enviar datos a dos servidores diferentes, probablemente para asegurar la redundancia.

Después de acceder al sistema objetivo, el script verifica el entorno para la presencia de VMware ESXi ejecutando el comando "uname" y buscando "vmkernel". Luego, se crea un archivo "TargetInfo.txt" con información sobre la víctima (nombre del host, dirección IP, datos del SO, nombres de usuarios conectados y sus privilegios, identificadores únicos e información sobre archivos y directorios cifrados), que se envía al servidor C2.

El malware cifra archivos con extensiones relacionadas con máquinas virtuales (vmdk, vmem, vswp, vmx, vmsn, nvram), agregando la extensión ".locked". Después de esto, se agrega una nota con instrucciones sobre el pago del rescate y la obtención de la clave de descifrado.

Después de completar todas las tareas, el script elimina la carga útil, por lo que se eliminan todos los rastros que podrían ser utilizados durante la investigación de incidentes en los equipos afectados.

Los analistas de Trend Micro relacionan los ataques de la nueva versión de Linux de TargetCompany con un ciberdelincuente llamado "vampire", mencionado en un informe de Sekoia. Las direcciones IP utilizadas para entregar el malware y recibir archivos con información de las víctimas estaban vinculadas a un proveedor en China, lo que no es suficiente para determinar con precisión el origen de los atacantes.

El informe de Trend Micro contiene recomendaciones de protección, incluyendo la instalación de autenticación multifactor (MFA), la creación de copias de seguridad y la actualización de sistemas. Los investigadores también proporcionaron una lista de indicadores de compromiso, incluyendo hashes para la variante de Linux del ransomware, el script personalizado y muestras relacionadas con el afiliado "vampire".

Anteriormente, los especialistas de Trend Micro descubrieron que los hackers de Mallox utilizan su propio ransomware en combinación con el troyano RAT Remcos y el ofuscador BatCloak, lo que les permite mantenerse en el sistema de la víctima y evitar la detección.

Además, en mayo, el ransomware Mallox fue utilizado en ataques a servidores Microsoft SQL (MS-SQL). Después de infiltrarse en el sistema, los ciberdelincuentes instalaban Remcos RAT para obtener control total del host infectado.