yandex metrika
RansomHouse (Jolly Scorpius): эволюция шифрования и техническая анатомия атак на VMware ESXi

RansomHouse (Jolly Scorpius): эволюция шифрования и техническая анатомия атак на VMware ESXi

Дата публикации: 25 декабря 2025 г.

Введение

RansomHouse представляет собой Ransomware-as-a-Service (RaaS) платформу, управляемую группировкой, отслеживаемой под названием Jolly Scorpius. Несмотря на публичную риторику о «раскрытии уязвимостей корпоративной безопасности», реальная деятельность RansomHouse демонстрирует классическую модель двойного вымогательства, сочетающую эксфильтрацию данных и шифрование инфраструктуры с последующим давлением на жертву через утечки.

Ключевой особенностью RansomHouse является узкая специализация на виртуализированных средах VMware ESXi, что позволяет злоумышленникам наносить максимальный ущерб за минимальное время, шифруя десятки и сотни виртуальных машин на уровне гипервизора. В отличие от таких семейств, как LockBit или Conti, ориентированных преимущественно на Windows-среды, RansomHouse делает ставку на инфраструктурный уровень, минимизируя зависимость от доменных политик и защитных решений на уровне ОС.

С конца 2021 года в инфраструктуре утечек RansomHouse зафиксировано более 120 жертв, включая организации из сфер здравоохранения, транспорта, финансов и государственного сектора. Последние образцы вредоносного ПО демонстрируют значительное усложнение криптографической реализации, что указывает на активную эволюцию инструментария.

Роли участников и модель RaaS

Операционная модель RansomHouse чётко разделяет роли:

Оператор (Operator) Отвечает за:

  • разработку и сопровождение RaaS-платформы;
  • поддержку шифратора и управляющих инструментов;
  • инфраструктуру C2 и сайт утечек;
  • каналы переговоров и криптовалютные кошельки.

Аффилиат (Attacker) Занимается:

  • получением первоначального доступа;
  • разведкой и боковым перемещением;
  • эксфильтрацией данных;
  • развертыванием компонентов RansomHouse в среде жертвы.

Жертва (Victim) Организация, инфраструктура которой подвергается:

  • краже данных;
  • шифрованию виртуальных дисков;
  • давлению через публикацию информации.

Подобное разделение позволяет аффилиатам быстро мигрировать между RaaS-платформами, а операторам масштабировать бизнес без прямого участия во взломах.

Цепочка атаки RansomHouse

Атака RansomHouse логически делится на четыре фазы:

  1. Develop

На этом этапе операторы разрабатывают и обновляют:

  • деплоймент-инструмент MrAgent;
  • шифратор Mario;
  • инфраструктуру управления и утечек.
  1. Infiltrate

Аффилиаты получают первоначальный доступ с использованием:

  • spear-phishing;
  • эксплуатации уязвимостей;
  • компрометации учётных данных;
  • доступа к плохо защищённым ESXi-хостам.

После входа выполняются:

  • разведка сети;
  • повышение привилегий;
  • выявление vCenter и ESXi-нод;
  • определение резервных копий и хранилищ.
  1. Exfiltrate & Deploy

На этом этапе:

  • чувствительные данные сжимаются и передаются на внешние серверы;
  • на гипервизор ESXi загружается MrAgent;
  • через MrAgent инициируется запуск шифратора Mario.
  1. Extort

После шифрования:

  • жертве оставляется записка с инструкциями;
  • данные частично публикуются;
  • ведутся переговоры через закрытые каналы.

MrAgent: управляющий компонент

tg_image_2772415177.png

MrAgent — это основной инструмент управления атакой, запускаемый непосредственно на ESXi-хосте. Его задача — обеспечить устойчивое управление процессом шифрования и взаимодействие с C2.

Основные функции MrAgent:

  • Сбор идентификаторов хоста:
  • uname -a
  • MAC-адреса через esxcli network nic list
  • Получение IP-адресов:
  • esxcli network ip interface ipv4 get
  • Отключение firewall:
  • esxcli network firewall set --enabled false
  • Связь с C2-сервером в постоянном цикле
  • Приём команд управления

Команды C2

Поддерживаемые инструкции включают:

  • Exec — запуск шифрования и остановка vCenter-сервисов;
  • Run — выполнение произвольных команд;
  • Remove — удаление файлов и директорий;
  • Config — обновление конфигурации;
  • Abort — отмена шифрования;
  • Quit — самоуничтожение агента.

Для хранения состояния используются JSON-структуры, синхронизируемые через mutex, что упрощает масштабное управление десятками хостов.

Mario: шифратор виртуальной инфраструктуры

Mario — основной шифратор RansomHouse, ориентированный на ESXi и файлы виртуальных машин.

Целевые типы файлов:

Шифрованию подвергаются:

  • .vmdk, .vmem, .vmsn, .vmsd
  • .ovf, .ova
  • .vswp
  • резервные копии Veeam (.vbk, .vbm)
  • пакеты ESXi (.vib)

Исключаются файлы с маркерами: .marion, .emario, .lmario, .nmario, .mmario, .wmario

Это предотвращает повторное шифрование и повреждение данных.

Эволюция криптографии Mario

Исходная версия

  • Однофазное линейное шифрование
  • Фиксированные сегменты
  • Минимальная защита от анализа

Обновлённая версия

Новая версия Mario использует:

  • двухключевую схему шифрования;
  • основной ключ 32 байта;
  • дополнительный ключ 8 байт;
  • многоэтапную обработку данных;
  • случайную генерацию ключей;
  • разреженное шифрование (sparse encryption);
  • динамический размер блоков;
  • заголовок с метаданными в начале зашифрованного файла.

Такой подход:

  • усложняет восстановление данных;
  • затрудняет статический анализ;
  • снижает эффективность классических дешифраторов.

Артефакты и индикаторы компрометации (IOC)

Файлы:

  • MrAgent
  • Mario
  • How To Restore Your Files.txt
  • файлы с расширением .emario

Команды ESXi:

• esxcli network firewall set --enabled false • esxcli system welcomemsg set • rm -rf

Поведенческие признаки:

  • остановка vpxa
  • массовое изменение VMDK-файлов
  • резкий рост I/O на datastore
  • сетевые соединения ESXi с внешними IP

Хэши:

• 0fe7fcc66726f8f2daed29b807d1da3c531ec004925625855f8889950d0d24d8 • d36afcfe1ae2c3e6669878e6f9310a04fb6c8af525d17c4ffa8b510459d7dd4d • 26b3c1269064ba1bf2bfdcf2d3d069e939f0e54fc4189e5a5263a49e17872f2a • 8189c708706eb7302d7598aeee8cd6bdb048bf1a6dbe29c59e50f0a39fd53973

YARA-правила:

Обнаружение шифратора Mario

rule RansomHouse_Mario_Encryptor
{
    meta:
        description = "RansomHouse Mario ESXi encryptor"
        author = "IR Analyst"
        malware_family = "RansomHouse"

    strings:
        $note = "How To Restore Your Files.txt"
        $ext  = ".emario"
        $s1   = "Processed chunk"
        $s2   = "Mario"

    condition:
        any of ($note, $ext) and filesize < 50MB
}

Обнаружение MrAgent

rule RansomHouse_MrAgent
{
    meta:
        description = "RansomHouse MrAgent ESXi management tool"

    strings:
        $cmd1 = "esxcli network firewall set --enabled false"
        $cmd2 = "uname -a"
        $cmd3 = "network nic list"

    condition:
        2 of ($cmd*)
}

Универсальное правило по семейству

rule RansomHouse_Generic
{
    meta:
        description = "Generic detection of RansomHouse components"

    strings:
        $m1 = "RansomHouse"
        $m2 = "Mario"
        $m3 = "MrAgent"

    condition:
        any of ($m*)
}

Заключение

RansomHouse демонстрирует чёткую тенденцию к усложнению криптографических механизмов и концентрации на инфраструктурных компонентах. Переход от линейного шифрования к многоуровневой обработке данных, использование разреженного шифрования и фокус на ESXi делают эту угрозу особенно опасной для корпоративных сред.

Развитие Mario показывает, что будущие ransomware-семейства будут всё чаще уходить от классических шаблонов и использовать архитектурно сложные модели, ориентированные на ма