Η έκδοση Linux του BlackMatter ransomware στοχεύει διακομιστές VMware ESXi
Το BlackMatter έχει αναπτύξει μία έκδοση για
συστήματα
Linux, που στοχεύει στην
πλατφόρμα
εικονικής μηχανής ESXi της VMware.
Δείτε επίσης:
Εντοπίστηκαν make-me-admin bugs σε Windows & Linux kernels
Η
επιχείρηση
φαίνεται να στρέφεται όλο και περισσότερο σε
εικονικές μηχανές
, για καλύτερη διαχείριση πόρων και αποκατάσταση καταστροφών.
Με το VMware ESXi να είναι η πιο δημοφιλής
πλατφόρμα
εικονικής μηχανής, σχεδόν κάθε
εκστρατεία
ransomware που στοχεύει σε
επιχειρήσεις
, έχει αρχίσει να κυκλοφορεί κρυπτογράφους που στοχεύουν συγκεκριμένα τις
εικονικές μηχανές
της.
Χθες, ο ερευνητής
ασφαλείας
MalwareHunterTeam
βρήκε έναν κρυπτογράφο Linux ELF64 [VirusTotal] της συμμορίας ransomware BlackMatter, που στοχεύει συγκεκριμένα τους διακομιστές VMware ESXi με βάση τη λειτουργικότητά τους.
Το BlackMatter είναι μια σχετικά νέα
εκστρατεία
ransomware που ξεκίνησε τον περασμένο μήνα και πιστεύεται ότι είναι μια επωνυμία του
DarkSide
. Αφού οι ερευνητές βρήκαν δείγματα, διαπιστώθηκε ότι οι ρουτίνες κρυπτογράφησης που χρησιμοποιήθηκαν από το ransomware ήταν οι ίδιες που χρησιμοποιήθηκαν από το DarkSide.
Το DarkSide έκλεισε μετά την επίθεση και το κλείσιμο της
Colonial Pipeline
και στη συνέχεια βίωσε την πλήρη πίεση της διεθνούς επιβολής και της αμερικανικής κυβέρνησης.
Δείτε ακόμα:
Colonial Pipeline
: Ανακτήθηκε το μεγαλύτερο μέρος των λύτρων που καταβλήθηκαν στο DarkSide
Από το δείγμα ransomware BlackMatter Linux, είναι σαφές ότι σχεδιάστηκε αποκλειστικά για να στοχεύει διακομιστές VMWare ESXi.
Ο
Vitali Kremez
της Advanced Intel εξέτασε το δείγμα και διαπίστωσε ότι οι φορείς απειλής δημιούργησαν μια
βιβλιοθήκη
«
esxi_utils
», που χρησιμοποιείται για την εκτέλεση διαφόρων λειτουργιών σε διακομιστές VMware ESXi.
Ο Kremez είπε ότι κάθε
λειτουργία
εκτελούσε μια διαφορετική εντολή χρησιμοποιώντας το
εργαλείο
διαχείρισης εντολών esxcli, όπως η καταχώριση εικονικών μηχανών, η διακοπή του τείχους προστασίας, η διακοπή μίας VM και πολλά άλλα.
Όλα τα ransomware που στοχεύουν τους διακομιστές ESXi προσπαθούν να κλείσουν τις
εικονικές μηχανές
πριν κρυπτογραφήσουν τις μονάδες δίσκου. Αυτό γίνεται για να μην καταστραφούν τα
δεδομένα
ενώ είναι κρυπτογραφημένα.
Μόλις κλείσουν όλα τα εικονικά μηχανήματα, θα κρυπτογραφήσει αρχεία που ταιριάζουν με συγκεκριμένες επεκτάσεις αρχείων με βάση τη διαμόρφωση που περιλαμβάνεται στο ransomware.
Δείτε επίσης:
Η
επιχείρηση
του
DarkSide ransomware
έκλεισε – οι
συνεργάτες
διαμαρτύρονται ότι δεν έχουν πληρωθεί
Η στόχευση διακομιστών ESXi είναι πολύ αποτελεσματική κατά τη διεξαγωγή επιθέσεων ransomware, καθώς επιτρέπει στους φορείς απειλής να κρυπτογραφούν ταυτόχρονα πολυάριθμους διακομιστές με μία μόνο εντολή.
Καθώς περισσότερες
επιχειρήσεις
μετακινούνται σε αυτόν τον τύπο πλατφόρμας για τους διακομιστές τους, οι προγραμματιστές ransomware θα επικεντρώνονται κυρίως σε μηχανές Windows.
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.
Η έκδοση Linux του BlackMatter ransomware στοχεύει διακομιστές VMware ESXi | O Efialtis
[…] εδώ Η έκδοση Linux του BlackMatter ransomware… για να διαβάσετε […]