Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Высокотехнологичный шифровальщик ELF64 угрожает виртуальным машинам VMware

06/12/23

ransomware-in-virtual-environment-featured-1

Исследователями безопасности был обнаружен новый вид шифровальщика от группы Qilin, нацеленный на серверы VMware ESXi. Этот шифровальщик считается одним из самых продвинутых и настраиваемых инструментов для Linux.

Переход компаний к использованию виртуальных машин VMware ESXi, обеспечивающих эффективное распределение ресурсов ЦП, памяти и хранилищ, сделал их очень привлекательной целью для киберпреступников. Почти все группы, занимающиеся вымогательством, уже давно создали специализированные шифровальщики для этого типа устройств, согласно Securitylab.

Исследователи из MalwareHunterTeam обнаружили и проанализировали Linux-шифровальщик ELF64 от Qilin. Как оказалась, он ориентирован на шифрование виртуальных машин и удаление их снапшотов (полных снимков текущего состояния машин).

Ключевые особенности ELF64, обнаруженные специалистами:

  • возможность настройки через командную строку, позволяющая изменять параметры шифрования;
  • исключения и критерии целей шифрования, включая процессы, директории, файлы и расширения файлов;
  • опции командной строки включают режим отладки, «сухой» прогон без шифрования файлов и настройки шифрования виртуальных машин и их снимков.

Шифровальщик определяет, запущен ли он на сервере Linux, FreeBSD или VMware ESXi. Если обнаруживается VMware ESXi, используются команды «esxcli» и «esxcfg-advcfg», ранее не встречавшиеся в других шифровальщиках.

По завершению шифрования виртуальных машин, создается заметка с требованием выкупа, содержащая ссылки на сайт переговоров группы Qilin в сети Tor, а также уникальные данные для входа на страницу чата. Суммы выкупа, наблюдаемые экспертами безопасности, варьируются от 25 тысяч до нескольких миллионов долларов.

Операция Qilin была запущена в августе 2022 года под названием «Agenda», но в сентябре была переименована в Qilin. Группа проникает в сети компаний, крадет данные, распространяется по системам и шифрует устройства в сети. Затем использует украденные данные и зашифрованные файлы в атаках двойного вымогательства для принуждения компаний платить выкуп.

Темы:VMWareLinuxУгрозышифровальщикиMalwareHunterTeam
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...