Контакты
Подписка 2025
Новости
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Высокотехнологичный шифровальщик ELF64 угрожает виртуальным машинам VMware

06/12/23

ransomware-in-virtual-environment-featured-1

Исследователями безопасности был обнаружен новый вид шифровальщика от группы Qilin, нацеленный на серверы VMware ESXi. Этот шифровальщик считается одним из самых продвинутых и настраиваемых инструментов для Linux.

Переход компаний к использованию виртуальных машин VMware ESXi, обеспечивающих эффективное распределение ресурсов ЦП, памяти и хранилищ, сделал их очень привлекательной целью для киберпреступников. Почти все группы, занимающиеся вымогательством, уже давно создали специализированные шифровальщики для этого типа устройств, согласно Securitylab.

Исследователи из MalwareHunterTeam обнаружили и проанализировали Linux-шифровальщик ELF64 от Qilin. Как оказалась, он ориентирован на шифрование виртуальных машин и удаление их снапшотов (полных снимков текущего состояния машин).

Ключевые особенности ELF64, обнаруженные специалистами:

  • возможность настройки через командную строку, позволяющая изменять параметры шифрования;
  • исключения и критерии целей шифрования, включая процессы, директории, файлы и расширения файлов;
  • опции командной строки включают режим отладки, «сухой» прогон без шифрования файлов и настройки шифрования виртуальных машин и их снимков.

Шифровальщик определяет, запущен ли он на сервере Linux, FreeBSD или VMware ESXi. Если обнаруживается VMware ESXi, используются команды «esxcli» и «esxcfg-advcfg», ранее не встречавшиеся в других шифровальщиках.

По завершению шифрования виртуальных машин, создается заметка с требованием выкупа, содержащая ссылки на сайт переговоров группы Qilin в сети Tor, а также уникальные данные для входа на страницу чата. Суммы выкупа, наблюдаемые экспертами безопасности, варьируются от 25 тысяч до нескольких миллионов долларов.

Операция Qilin была запущена в августе 2022 года под названием «Agenda», но в сентябре была переименована в Qilin. Группа проникает в сети компаний, крадет данные, распространяется по системам и шифрует устройства в сети. Затем использует украденные данные и зашифрованные файлы в атаках двойного вымогательства для принуждения компаний платить выкуп.
Темы:VMWareLinuxУгрозышифровальщикиMalwareHunterTeam
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

  • Ransomware как услуга: готовая инфраструктура заработка на ваших данных
    Дмитрий Калинин, Продакт-менеджер компании DSSL
    Киберугрозы становятся все более изощренными. Одной из самых опасных является Ransomware-as-a-Service (RaaS) – по сути предоставление программы-вымогателя в аренду. Эта услуга позволяет даже неопытным хакерам зарабатывать на похищении данных, предоставляя им доступ к мощным инструментам для шифрования и вымогательства.
  • Куда российским компаниям мигрировать с Active Directory?
    Несмотря на то, что Active Directory является проверенным и широко используемым решением для управления идентификацией и доступом в Windows-средах, существует веская причина, по которой российские компании рассматривают переход на альтернативные каталоги. Эта причина – миграция с иностранных операционных систем, и как следствие – отказ от их экосистем и инфраструктур, построенных на их основе.
  • Решения Рутокен для аутентификации в российские ОC и информационные системы
    Андрей Шпаков, руководитель проектов по информационной безопасности в Компании "Актив"
    Устройства Рутокен являются передовыми аппаратными средствами пользовательской аутентификации на российском рынке. Совместно с другими средствами защиты они обеспечивают полный цикл MFA. Компания "Актив" создает не только аппаратные, но и программные решения, в частности, Рутокен Логон.
  • О безопасности заимствованных компонентов Open Source
    Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения, ведущий научный сотрудник ФГБУН “ИСП РАН”
    Open Source стал неотъемлемой частью современного мира. Сегодня уже нет необходимости объяснять, что это такое, – с этим явлением все давно свыклись и приняли его как данность. Однако возникает другой вопрос: как эффективно и зрело работать с Open Source?
  • Пять мифов о безопасности российских операционных систем
    Роман Мылицын, руководитель отдела перспективных исследований “Группы Астра”
    Использование российских операционных систем на основе Linux для рабочих станций связано со множеством мифов, которые могут отпугивать пользователей и компании от внедрения. Разберем и развенчаем несколько самых распространенных заблуждений, касающихся информационной безопасности и корпоративного использования российских ОС на примере Astra Linux.
  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"