Новая Linux-версия программы Royal Ransomware нацелена на виртуальные машины ESXi

Новая Linux-версия программы Royal Ransomware нацелена на виртуальные машины ESXi

Ранее неизвестный вариант Royal с помощью одной команды может зашифровать все виртуальные машины.

image

Исследователь кибербезопасности Уилл Томас из Центра анализа угроз Equinix (ETAC) обнаружил , что программа-вымогатель Royal Ransomware добавила поддержку шифрования устройств Linux к своим последним вариантам вредоносного ПО, нацеленным на виртуальные машины VMware ESXi.

Новый вариант Royal Ransomware выполняется с помощью командной строки и поддерживает нескольких флагов, которые дадут оператору частичный контроль над процессом шифрования:

  • -stopvm — останавливает все работающие виртуальные машины, чтобы их можно было зашифровать;
  • -vmonly — шифровать только виртуальные машины;
  • -fork — неизвестно;
  • -logs — неизвестно;
  • -id — идентификатор из 32 символов.

При шифровании файлов программа-вымогатель добавит расширение «.royal_u» ко всем зашифрованным файлам на виртуальной машине. Ранее антивирусные решения ранее не могли обнаружить новый образец Royal Ransomware, но теперь он обнаруживается 23 из 62 модулей сканирования на VirusTotal.

Разница в результатах сканирования нового варианта Royal

Сдвиг групп вымогателей в сторону виртуальных машин ESXi связан с тем, что предприятия переходят на виртуальные машины, поскольку они обеспечивают улучшенное управление устройствами и более эффективную обработку ресурсов. После развертывания полезных нагрузок на хостах ESXi операторы программ-вымогателей используют одну команду для шифрования нескольких серверов.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь