Dalam teknik ini , hacker memperoleh akses ke jaringan dengan masuk ke akun TeamViewer yang berjalan di perangkat dengan admin domain. Kemudian, penyerang menggunakan Advanced IP Scanner untuk memindai ujung jaringan dan mengidentifikasi target lain, lalu mereka masuk ke server ESXi dengan klien SSH yang disebut Bitvis. Dalam hal ini, administrator TI di perusahaan korban membiarkan layanan SSH ESXi Shell diaktifkan untuk membuka pintu penyerang.
Operator ransomware kemudian mengeksekusi skrip kecil Python (6kb) untuk mengenkripsi semua disk virtual dan file pengaturan VM dari mesin virtual yang di-hosting di server.
“Tiga jam setelah penyerang memindai jaringan, mereka menggunakan kredensialnya untuk masuk ke ESXi Shell dan menyalin file bernama fcker.py ke penyimpanan data ESXi, yang mampu menampung gambar disk virtual yang digunakan oleh VM dan berjalan di hypervisor. ” menurut analisa peneliti.
Penyerang pertama-tama mematikan mesin virtual, lalu menimpa konten file asli yang disimpan di volume penyimpanan data untuk mencegah korban memulihkannya dan menghapus disk VM.
“Awalnya, skrip “berjalan” sistem file dari datastore dapat membuat peta direktori drive dan menginventarisasi nama setiap mesin virtual di hypervisor, kemudian menuliskannya ke file bernama vms.txt. Selanjutnya, dijalankannya perintah ESXi Shell vim-cmd vmsvc/power.off, satu kali untuk setiap VM yang meneruskan nama VM ke perintah sebagai variabel satu per satu. Hanya ketika VM dimatikan, skrip mulai mengenkripsi volume penyimpanan data.” pernyataan pada analisis peneliti.
“Menggunakan satu instruksi untuk setiap file yang dienkripsi, skrip memanggil alat open source openssl untuk mengenkripsi file dengan perintah berikut:
openssl rsautil -encrypt -inkey pubkey.txt -pubin -out [filename].txt
Skrip tersebut kemudian menimpa isi file asli hanya dengan kata ‘fuck’, lalu menghapus file aslinya.
Terakhir, ia menghapus file yang berisi daftar direktori, nama VM dan dirinya sendiri dengan menimpa file tersebut sebelum menghapusnya.” Para ahli memperhatikan bahwa ransomware ini membuat pasangan kunci unik setiap kali dijalankan.
Sayangnya, serangan terhadap server ESXi semakin sering terjadi, beberapa geng ransomware menargetkan mereka, termasuk BlackMatter, RansomExx, HelloKitty, REvil, dan Babu Locker.
Administrator yang mengoperasikan ESXi atau hypervisor lain di jaringan mereka harus mengikuti praktik terbaik keamanan, menghindari penggunaan kembali kata sandi dan menggunakan kata sandi yang rumit dan sulit untuk dipaksakan dengan panjang yang memadai. Jika memungkinkan, aktifkan penggunaan autentikasi multi-faktor dan terapkan penggunaan MFA untuk akun dengan izin tingkat tinggi, seperti administrator domain.
Dalam kasus ESXi, penggunaan ESXi Shell adalah sesuatu yang dapat diaktifkan atau dinonaktifkan baik dari konsol fisik di mesin itu sendiri, atau melalui alat manajemen normal yang disediakan oleh VMware.