REvil cible les machines virtuelles ESXi avec son nouveau chiffreur Linux

0

L’opération de ransomware REvil utilise désormais un chiffreur Linux qui cible et chiffre les machines virtuelles Vmware ESXi.

Alors que l’entreprise passe aux machines virtuelles pour faciliter les sauvegardes, la gestion des appareils et l’utilisation efficace des ressources, les gangs de ransomware créent de plus en plus leurs propres outils pour chiffrer en masse le stockage utilisé par les machines virtuelles.

En Mai, Yelisey Boguslavskiy d’Advanced Intel a partagé un message sur le forum de l’opération REvil où ils ont confirmé qu’ils avaient publié une version Linux de leur chiffreur qui pourrait également fonctionner sur les périphériques NAS.

Le chercheur en sécurité MalwareHunterTeam a trouvé une version Linux du ransomware REvil (alias Sodinokibi) qui semble également cibler les serveurs ESXi.

Vitali Kremez d’Advanced Intel, qui a analysé la nouvelle variante Linux de REvil, a déclaré qu’il s’agissait d’un exécutable ELF64 et qu’il inclut les mêmes options de configuration que celles utilisées par l’exécutable Windows le plus courant.

Kremez déclare que c’est la première fois que la variante Linux est disponible publiquement depuis sa sortie.

Lorsqu’il est exécuté sur un serveur, un pirate informatique peut spécifier le chemin pour chiffrer et activer un mode silencieux.

Lorsqu’il est exécuté sur des serveurs ESXi, il exécute l’outil de ligne de commande esxcli pour répertorier toutes les machines virtuelles ESXi en cours d’exécution et les arrêter.

esxcli –formatter=csv –format-param=fields== »WorldID,DisplayName » vm process list | awk -F «  »*, »* » ‘{system(« esxcli vm process kill –type=force –world-id= » $1)}’

Cette commande est utilisée pour fermer les fichiers du disque de la machine virtuelle (VMDK) stockés dans le dossier /vmfs/ afin que le logiciel malveillant du ransomware REvil puisse chiffrer les fichiers sans qu’ils soient verrouillés par ESXi.

Si une machine virtuelle n’est pas correctement fermée avant de chiffrer son fichier, cela peut entraîner une corruption des données.

En ciblant les machines virtuelles de cette manière, REvil peut chiffrer plusieurs serveurs à la fois avec une seule commande.

D’autres opérations de ransomware, telles que Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide et Hellokitty ont également créé des chiffreurs Linux pour cibler les machines virtuelles ESXi.

Les hachages de fichiers associés au chiffreur Linux de REvil ont été collectés par le chercheur en sécurité Jaime Blasco et partagés sur Open Threat Exchange d’Alienvault.

Si cet article vous a plu, jetez un œil à nos bons plans.

Laisser un commentaire