DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Phiên bản Linux của REvil ransomware nhắm mục tiêu ESXi VM
Kẻ điều hành ransomware REvil đã thêm một trình mã hóa Linux vào công cụ tấn công để mã hóa các máy ảo Vmware ESXi được sử dụng phổ biến trong các doanh nghiệp.
Tính khả dụng của bộ mã hóa Linux đã được nhóm tin tặc REvil công bố vào tháng 5, một bằng chứng cho thấy nhóm này đang mở rộng hoạt động của mình.
Hiện, các nhà nghiên cứu MalwareHunterTeam đã phát hiện ra một phiên bản Linux của ransomware REvil cũng nhắm mục tiêu đến các máy chủ ESXi.
Theo nhà nghiên cứu phần mềm độc hại Vitali Kremez, biến thể mới của REvil ransomware là bản thực thi ELF64 với các tùy chọn cấu hình tương tự như phiên bản dành cho hệ điều hành Windows.
"Đây là lần đầu tiên phiên bản Linux của REvil ransomware được phát tán rộng rãi kể từ khi xuất hiện".
Khi thực thi trên máy chủ ESXi, phiên bản Linux của REvil ransomware sẽ chạy công cụ dòng lệnh esxcli để liệt kê tất cả máy ảo ESXi đang chạy và đóng các tệp đĩa máy ảo (VMDK) được lưu trữ trong thư mục /vmfs/. Sau đó, ransomware REvil sẽ mã hóa các tập tin.
Tính khả dụng của bộ mã hóa Linux đã được nhóm tin tặc REvil công bố vào tháng 5, một bằng chứng cho thấy nhóm này đang mở rộng hoạt động của mình.
Hiện, các nhà nghiên cứu MalwareHunterTeam đã phát hiện ra một phiên bản Linux của ransomware REvil cũng nhắm mục tiêu đến các máy chủ ESXi.
Theo nhà nghiên cứu phần mềm độc hại Vitali Kremez, biến thể mới của REvil ransomware là bản thực thi ELF64 với các tùy chọn cấu hình tương tự như phiên bản dành cho hệ điều hành Windows.
"Đây là lần đầu tiên phiên bản Linux của REvil ransomware được phát tán rộng rãi kể từ khi xuất hiện".
Khi thực thi trên máy chủ ESXi, phiên bản Linux của REvil ransomware sẽ chạy công cụ dòng lệnh esxcli để liệt kê tất cả máy ảo ESXi đang chạy và đóng các tệp đĩa máy ảo (VMDK) được lưu trữ trong thư mục /vmfs/. Sau đó, ransomware REvil sẽ mã hóa các tập tin.
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | awk -F ""*,"*" '{system("esxcli vm process kill --type=force --world-id=" $1)}'
Các dấu vết tấn công hệ thống (IoC) cho bộ mã hóa REvil Linux đã được chuyên gia Jaime Blasco công bố trên Alienvault’s Open Threat Exchange.
Theo: securityaffairs
Chỉnh sửa lần cuối bởi người điều hành: