Поскольку автономный гипервизор VMware ESXi является самой популярной платформой виртуальных машин, почти все вымогательские группировки начали выпускать шифровальщики, специально предназначенные для данных устройств.
После громкой кибератаки на крупнейшего в США оператора трубопровода Colonial Pipeline, приведшей к дефициту бензина на всем юго-восточном побережье страны, правоохранительные органы по всему миру, и в особенности американские, начали настоящую охоту на DarkSide. В мае нынешнего года группировка внезапно лишилась доступа к своим серверам и криптовалютным активам, которые оказались захвачены неизвестными, и была вынуждена заявить о прекращении своих операций. Как стало известно позднее, ФБР удалось отобрать у DarkSide 63,7 биткойна из 75, уплаченных Colonial Pipeline вымогателям за восстановление файлов.
Вскоре после этого на кибервымогательскую арену вышла новая группировка под названием BlackMatter, заявившая на хакерских форумах о том, что готова заплатить до $100 тыс. за доступ к корпоративным сетям крупных компаний. При этом ее интересуют только компании с годовым доходом $100 млн и больше.
ИБ-эксперт Виталий Кремез из Advanced Intel провел реверс-инжиниринг нового образца вымогателя и сообщил , что злоумышленники создали библиотеку esxi_utils, которая используется для выполнения различных операций на серверах VMware ESXi.
Каждая функция выполняет отдельную команду с помощью инструмента управления командной строки esxcli, например, вывод списка виртуальных машин, прекращение работы межсетевого экрана или виртуальной машины.