30/06/21
Операторы вымогательского ПО REvil начали использовать новый шифровальщик Linux-устройств для осуществления кибератак на виртуальные машины Vmware ESXi.
По мере того, как предприятия переходят на виртуальные машины для упрощения резервного копирования, управления устройствами и эффективного использования ресурсов, вымогательские группировки все чаще создают собственные инструменты для массового шифрования хранилищ, используемых виртуальными машинами.
Как сообщил ИБ-эксперт Виталий Кремез из компании Advanced Intel изданию Bleeping Computer, вариант вредоноса для Linux представляет собой исполняемый файл ELF64 и включает те же параметры конфигурации, что и более распространенный исполняемый файл для Windows.
При выполнении на сервере злоумышленник может указать путь для шифрования и включить тихий режим. На серверах ESXi оператор запускает инструмент командной строки esxcli для вывода списка всех работающих виртуальных машин ESXi и их завершения. Команда используется для закрытия файлов диска виртуальной машины (VMDK), хранящихся в папке /vmfs/, чтобы программа-вымогатель REvil могла зашифровать файлы без их блокировки ESXi.
Если виртуальная машина не будет правильно закрыта перед шифрованием файла, это может привести к повреждению данных. Выбирая таким образом виртуальные машины, REvil может зашифровать сразу несколько серверов с помощью одной команды.
