07/02/23
Исследователь кибербезопасности Уилл Томас из Центра анализа угроз Equinix (ETAC) обнаружил , что программа-вымогатель Royal Ransomware добавила поддержку шифрования устройств Linux к своим последним вариантам вредоносного ПО, нацеленным на виртуальные машины VMware ESXi.
Новый вариант Royal Ransomware выполняется с помощью командной строки и поддерживает нескольких флагов, которые дадут оператору частичный контроль над процессом шифрования:
- -stopvm — останавливает все работающие виртуальные машины, чтобы их можно было зашифровать;
- -vmonly — шифровать только виртуальные машины;
- -fork — неизвестно;
- -logs — неизвестно;
- -id — идентификатор из 32 символов.
При шифровании файлов программа-вымогатель добавит расширение «.royal_u» ко всем зашифрованным файлам на виртуальной машине. Ранее антивирусные решения ранее не могли обнаружить новый образец Royal Ransomware, но теперь он обнаруживается 23 из 62 модулей сканирования на VirusTotal, передает Securitylab.
Сдвиг групп вымогателей в сторону виртуальных машин ESXi связан с тем, что предприятия переходят на виртуальные машины, поскольку они обеспечивают улучшенное управление устройствами и более эффективную обработку ресурсов. После развертывания полезных нагрузок на хостах ESXi операторы программ-вымогателей используют одну команду для шифрования нескольких серверов.
