Blackmatter Gang, VMware'in Esxi sanal makine platformunu hedefleyen bir Linux şifreleme geliştirmek için Ransomware operasyonlarının saflarına katıldı.
Kurumsal, daha iyi kaynak yönetimi ve felaket kurtarma için sunucuları için sanal makinelere giderek giderek gidiyor.
VMware ESXI ile en popüler sanal makine platformu olan hemen hemen her işletme hedefleyen fidye yazılımı operasyonu, özellikle sanal makinelerini hedefleyen şifreleme yapmaya başladı.
Dün, güvenlik araştırmacısı MalwarehunterTeam, özellikle VMware ESXI sunucularını işlevselliğine dayanarak, VMware ESXI sunucularını hedef alan Blackmatter Ransomware çetesi için Linux Elf64 Şifreleme [Virustotal] buldu.
Blackmatter, geçen ay başlayan ve karanlık bir rebrand olduğuna inanılan nispeten yeni bir Ransomware operasyonudur. Araştırmacılar örnekleri bulduktan sonra, Ransomware tarafından kullanılan şifreleme rutinlerinin, Darkside tarafından kullanılan aynı özel ve benzersiz olanlar olduğu tespit edildi.
Darkside, sömürge boru hattını saldırdıktan ve kapattıktan sonra kapatıldıktan sonra uluslararası yaptırmanın ve ABD hükümetinin toplam baskısını hissediyor.
Blackmatter'ın Linux Encryptöründen BleepingComputer ile paylaşılan Numune, yalnızca VMware ESXI sunucularını hedeflemek için tasarlandığı açıktır.
Advanced Intel'in Vitali Kremez, örneği tersine çevirdi ve BleepingComputer'a, Tehdit Sahiplerinin, VMware ESXI sunucularında çeşitli işlemleri yapmak için kullanılan bir 'ESXI_UTILS' kütüphanesi oluşturduğunu söyledi.
Kremez, her fonksiyonun, VM'leri listeleme, bir VM'yi durduran, VM'yi durduran, bir VM ve daha fazlasını durduran ESXCLI komut satırı yönetimi aracını kullanarak farklı bir komutu çalıştıracağını söyledi.
Örneğin, Stop_Firewall () işlevi aşağıdaki komutu yürütür:
Stop_vm () aşağıdaki ESXCLI komutunu yürütürken:
ESXI sunucularını hedefleyen tüm Ransomware, sürücüleri şifreleymeden önce sanal makineleri kapatmaya çalışır. Bu, verilerin şifrelenirken bozulmasını önlemek için yapılır.
Tüm VMS kapatıldıktan sonra, Ransomware ile birlikte verilen konfigürasyona bağlı olarak belirli dosya uzantılarıyla eşleşen dosyaları şifrelecektir.
ESXI sunucularını hedeflemek, fidye yazılım saldırıları yaparken çok etkilidir, çünkü tehdit aktörlerinin bir kerede tek bir komutla sayısız sunucuları şifrelemesini sağlar.
Daha fazla işletme, sunucuları için bu tür platforma hareket ederken, Ransomware geliştiricileri öncelikle Windows makinelerinde odaklanmayı görmeye devam edeceğiz, ancak aynı zamanda ESXI'yı hedefleyen özel bir Linux şifreli olarak da oluşturacağız.
Emsisoft CTO Fabian Wosar, BleepingComputer'a, Revil, Hellokitty, Babuk, Ransomexx / Defroy, Mespinoza, Gogoogle gibi diğer fidye yazılımı operasyonlarının bu amaç için Linux şifreleme yarattığını söyledi.
Hellokitty Ransomware Hedefleri VMware ESXI Sunucularının Linux versiyonu
Yeniden Ransomware'nin Yeni Linux Şifreleme ESXI Sanal Makineleri Hedefler
Ransomware'deki hafta - 6 Ağustos 2021 - Insider Threat Edition
Darkside Ransomware çete yeni Blackmatter operasyonu olarak döndürür
Blackmatter Ransomware çetesi, darksenin küllerinden yükselir, tekrar
Kaynak: Bleeping Computer