Ранее неизвестный вариант Royal с помощью одной команды может зашифровать все виртуальные машины.
Исследователь кибербезопасности Уилл Томас из Центра анализа угроз Equinix (ETAC) обнаружил , что программа-вымогатель Royal Ransomware добавила поддержку шифрования устройств Linux к своим последним вариантам вредоносного ПО, нацеленным на виртуальные машины VMware ESXi.
Новый вариант Royal Ransomware выполняется с помощью командной строки и поддерживает нескольких флагов, которые дадут оператору частичный контроль над процессом шифрования:
При шифровании файлов программа-вымогатель добавит расширение «.royal_u» ко всем зашифрованным файлам на виртуальной машине. Ранее антивирусные решения ранее не могли обнаружить новый образец Royal Ransomware, но теперь он обнаруживается 23 из 62 модулей сканирования на VirusTotal.
Разница в результатах сканирования нового варианта Royal
Сдвиг групп вымогателей в сторону виртуальных машин ESXi связан с тем, что предприятия переходят на виртуальные машины, поскольку они обеспечивают улучшенное управление устройствами и более эффективную обработку ресурсов. После развертывания полезных нагрузок на хостах ESXi операторы программ-вымогателей используют одну команду для шифрования нескольких серверов.
Спойлер: мы раскрываем их любимые трюки