REvil вооружились новым шифровальщиком Linux-устройств для атак на виртуальные машины ESXi

REvil вооружились новым шифровальщиком Linux-устройств для атак на виртуальные машины ESXi

REvil может зашифровать сразу несколько серверов жертвы с помощью одной команды.

Операторы вымогательского ПО REvil начали использовать новый шифровальщик Linux-устройств для осуществления кибератак на виртуальные машины Vmware ESXi.

По мере того, как предприятия переходят на виртуальные машины для упрощения резервного копирования, управления устройствами и эффективного использования ресурсов, вымогательские группировки все чаще создают собственные инструменты для массового шифрования хранилищ, используемых виртуальными машинами.

Как сообщил ИБ-эксперт Виталий Кремез из компании Advanced Intel изданию Bleeping Computer, вариант вредоноса для Linux представляет собой исполняемый файл ELF64 и включает те же параметры конфигурации, что и более распространенный исполняемый файл для Windows.

При выполнении на сервере злоумышленник может указать путь для шифрования и включить тихий режим. На серверах ESXi оператор запускает инструмент командной строки esxcli для вывода списка всех работающих виртуальных машин ESXi и их завершения. Команда используется для закрытия файлов диска виртуальной машины (VMDK), хранящихся в папке /vmfs/, чтобы программа-вымогатель REvil могла зашифровать файлы без их блокировки ESXi.

Если виртуальная машина не будет правильно закрыта перед шифрованием файла, это может привести к повреждению данных. Выбирая таким образом виртуальные машины, REvil может зашифровать сразу несколько серверов с помощью одной команды.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину