06/12/23
Исследователями безопасности был обнаружен новый вид шифровальщика от группы Qilin, нацеленный на серверы VMware ESXi. Этот шифровальщик считается одним из самых продвинутых и настраиваемых инструментов для Linux.
Переход компаний к использованию виртуальных машин VMware ESXi, обеспечивающих эффективное распределение ресурсов ЦП, памяти и хранилищ, сделал их очень привлекательной целью для киберпреступников. Почти все группы, занимающиеся вымогательством, уже давно создали специализированные шифровальщики для этого типа устройств, согласно Securitylab.
Исследователи из MalwareHunterTeam обнаружили и проанализировали Linux-шифровальщик ELF64 от Qilin. Как оказалась, он ориентирован на шифрование виртуальных машин и удаление их снапшотов (полных снимков текущего состояния машин).
Ключевые особенности ELF64, обнаруженные специалистами:
- возможность настройки через командную строку, позволяющая изменять параметры шифрования;
- исключения и критерии целей шифрования, включая процессы, директории, файлы и расширения файлов;
- опции командной строки включают режим отладки, «сухой» прогон без шифрования файлов и настройки шифрования виртуальных машин и их снимков.
Шифровальщик определяет, запущен ли он на сервере Linux, FreeBSD или VMware ESXi. Если обнаруживается VMware ESXi, используются команды «esxcli» и «esxcfg-advcfg», ранее не встречавшиеся в других шифровальщиках.
По завершению шифрования виртуальных машин, создается заметка с требованием выкупа, содержащая ссылки на сайт переговоров группы Qilin в сети Tor, а также уникальные данные для входа на страницу чата. Суммы выкупа, наблюдаемые экспертами безопасности, варьируются от 25 тысяч до нескольких миллионов долларов.
Операция Qilin была запущена в августе 2022 года под названием «Agenda», но в сентябре была переименована в Qilin. Группа проникает в сети компаний, крадет данные, распространяется по системам и шифрует устройства в сети. Затем использует украденные данные и зашифрованные файлы в атаках двойного вымогательства для принуждения компаний платить выкуп.
