Qilin против VMware ESXi: новая глава в войне за сохранность данных

VMware ESXi Qilin ELF64 Linux Tor MalwareHunterTeam вымогательское ПО
Qilin против VMware ESXi: новая глава в войне за сохранность данных
VMware ESXi Qilin ELF64 Linux Tor MalwareHunterTeam вымогательское ПО

Высокотехнологичный шифровальщик ELF64 бросает новый вызов безопасности виртуальных машин.

image

Исследователями безопасности был обнаружен новый вид шифровальщика от группы Qilin, нацеленный на серверы VMware ESXi. Этот шифровальщик считается одним из самых продвинутых и настраиваемых инструментов для Linux.

Переход компаний к использованию виртуальных машин VMware ESXi, обеспечивающих эффективное распределение ресурсов ЦП, памяти и хранилищ, сделал их очень привлекательной целью для киберпреступников. Почти все группы, занимающиеся вымогательством, уже давно создали специализированные шифровальщики для этого типа устройств.

Исследователи из MalwareHunterTeam обнаружили и проанализировали Linux-шифровальщик ELF64 от Qilin. Как оказалась, он ориентирован на шифрование виртуальных машин и удаление их снапшотов (полных снимков текущего состояния машин).

Ключевые особенности ELF64, обнаруженные специалистами:

  • возможность настройки через командную строку, позволяющая изменять параметры шифрования;
  • исключения и критерии целей шифрования, включая процессы, директории, файлы и расширения файлов;
  • опции командной строки включают режим отладки, «сухой» прогон без шифрования файлов и настройки шифрования виртуальных машин и их снимков.

Шифровальщик определяет, запущен ли он на сервере Linux, FreeBSD или VMware ESXi. Если обнаруживается VMware ESXi, используются команды «esxcli» и «esxcfg-advcfg», ранее не встречавшиеся в других шифровальщиках.

По завершению шифрования виртуальных машин, создается заметка с требованием выкупа, содержащая ссылки на сайт переговоров группы Qilin в сети Tor, а также уникальные данные для входа на страницу чата. Суммы выкупа, наблюдаемые экспертами безопасности, варьируются от 25 тысяч до нескольких миллионов долларов.

Операция Qilin была запущена в августе 2022 года под названием «Agenda», но в сентябре была переименована в Qilin. Группа проникает в сети компаний, крадет данные, распространяется по системам и шифрует устройства в сети. Затем использует украденные данные и зашифрованные файлы в атаках двойного вымогательства для принуждения компаний платить выкуп.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!