Η συμμορία πίσω από το LockBit ransomware φαίνεται πως χρησιμοποιεί μια Linux έκδοση του κακόβουλου λογισμικού (Linux encryptor), που εστιάζει στην κρυπτογράφηση VMware ESXi virtual machines.

Οι εταιρείες στρέφονται όλο και πιο πολύ σε virtual machines για εξοικονόμηση πόρων υπολογιστών, ευκολότερη δημιουργία αντιγράφων ασφαλείας κλπ.

Δείτε επίσης: Τα botnets Mirai εκμεταλλεύονται τη χαλαρή ασφάλεια του IoT

Οι ransomware συμμορίες παρακολουθούν τις τάσεις και εξελίσσουν τις τακτικές τους, ώστε να δημιουργήσουν Linux encryptors που στοχεύουν συγκεκριμένα τις δημοφιλείς πλατφόρμες virtualization, VMware vSphere και ESXi. Ήδη από τον περασμένο χρόνο, άρχισαν να παρατηρούνται τέτοιες επιθέσεις.

Ενώ το ESXi δεν είναι αυστηρά Linux, μοιράζεται πολλά από τα χαρακτηριστικά του, συμπεριλαμβανομένης της ικανότητας εκτέλεσης ELF64 Linux executables.

Το Lockbit ransomware στοχεύει VMware ESXi servers

Τον Οκτώβριο του περασμένου έτους, η συμμορία πίσω από το LockBit άρχισε να προωθεί τις νέες δυνατότητες της λειτουργίας Ransomware-as-a-Service σε hacking forums. Μια από αυτές τις νέες δυνατότητες, ήταν ένα νέο Linux encryptor που στοχεύει VMware ESXi virtual machines.

Ερευνητές της Trend Micro ανέλυσαν τον Linux encryptor της συμμορίας και εξήγησαν πώς χρησιμοποιείται για τη στόχευση VMWare ESXi και vCenter installations.

Το Linux encryptor του LockBit παρέχει ένα command-line interface που επιτρέπει στους συνεργάτες (affiliates) να ενεργοποιούν και να απενεργοποιούν διάφορες λειτουργίες/δυνατότητες για να προσαρμόζουν τις επιθέσεις τους.

Δείτε επίσης: Το νέο DeadBolt ransomware στοχεύει QNAP NAS συσκευές

Αυτές οι δυνατότητες περιλαμβάνουν τη δυνατότητα καθορισμού του μεγέθους ενός αρχείου και του αριθμού των bytes για κρυπτογράφηση, καθορίζουν αν θα σταματήσει η λειτουργία των virtual machines κλπ.

Ωστόσο, αυτό που ξεχωρίζει το LockBit linux encryptor είναι η ευρεία χρήση των VMware ESXI και VMware vCenter command-line utilities, για να ελεγχθεί ποια virtual machines εκτελούνται και για να τερματιστεί η λειτουργία τους.

Η Trend Micro δηλώνει ότι το encryptor χρησιμοποιεί AES για την κρυπτογράφηση αρχείων και elliptic-curve cryptography (ECC) αλγόριθμους για την κρυπτογράφηση των decryption keys.

Δείτε επίσης: Google Drive: Προειδοποιεί για ύποπτα αρχεία που χρησιμοποιούνται για phishing/malware

Η ευρεία χρήση του VMware ESXI από τις επιχειρήσεις πιθανότατα θα οδηγήσει κι άλλες ransomware συμμορίες στην ανάπτυξη μιας παραλλαγής Linux. Πέρα από τη συμμορία LockBit, υπάρχουν και άλλες που έχουν ήδη Linux encryptor (HelloKitty, BlackMatter, REvil, AvosLocker, Hive ransomware).

Αυτό σημαίνει ότι οι διαχειριστές και οι επαγγελματίες ασφάλειας πρέπει να δημιουργήσουν κατάλληλες άμυνες ώστε να προστατεύσουν όλες τις συσκευές στα δίκτυά τους.

Πηγή: Bleeping Computer