Το BlackMatter έχει αναπτύξει μία έκδοση για συστήματα Linux, που στοχεύει στην πλατφόρμα εικονικής μηχανής ESXi της VMware.
Δείτε επίσης: Εντοπίστηκαν make-me-admin bugs σε Windows & Linux kernels
Η επιχείρηση φαίνεται να στρέφεται όλο και περισσότερο σε εικονικές μηχανές, για καλύτερη διαχείριση πόρων και αποκατάσταση καταστροφών.
Με το VMware ESXi να είναι η πιο δημοφιλής πλατφόρμα εικονικής μηχανής, σχεδόν κάθε εκστρατεία ransomware που στοχεύει σε επιχειρήσεις, έχει αρχίσει να κυκλοφορεί κρυπτογράφους που στοχεύουν συγκεκριμένα τις εικονικές μηχανές της.
Χθες, ο ερευνητής ασφαλείας MalwareHunterTeam βρήκε έναν κρυπτογράφο Linux ELF64 [VirusTotal] της συμμορίας ransomware BlackMatter, που στοχεύει συγκεκριμένα τους διακομιστές VMware ESXi με βάση τη λειτουργικότητά τους.
Το BlackMatter είναι μια σχετικά νέα εκστρατεία ransomware που ξεκίνησε τον περασμένο μήνα και πιστεύεται ότι είναι μια επωνυμία του DarkSide. Αφού οι ερευνητές βρήκαν δείγματα, διαπιστώθηκε ότι οι ρουτίνες κρυπτογράφησης που χρησιμοποιήθηκαν από το ransomware ήταν οι ίδιες που χρησιμοποιήθηκαν από το DarkSide.
Το DarkSide έκλεισε μετά την επίθεση και το κλείσιμο της Colonial Pipeline και στη συνέχεια βίωσε την πλήρη πίεση της διεθνούς επιβολής και της αμερικανικής κυβέρνησης.
Δείτε ακόμα: Colonial Pipeline: Ανακτήθηκε το μεγαλύτερο μέρος των λύτρων που καταβλήθηκαν στο DarkSide
Από το δείγμα ransomware BlackMatter Linux, είναι σαφές ότι σχεδιάστηκε αποκλειστικά για να στοχεύει διακομιστές VMWare ESXi.
Ο Vitali Kremez της Advanced Intel εξέτασε το δείγμα και διαπίστωσε ότι οι φορείς απειλής δημιούργησαν μια βιβλιοθήκη «esxi_utils», που χρησιμοποιείται για την εκτέλεση διαφόρων λειτουργιών σε διακομιστές VMware ESXi.
Ο Kremez είπε ότι κάθε λειτουργία εκτελούσε μια διαφορετική εντολή χρησιμοποιώντας το εργαλείο διαχείρισης εντολών esxcli, όπως η καταχώριση εικονικών μηχανών, η διακοπή του τείχους προστασίας, η διακοπή μίας VM και πολλά άλλα.
Όλα τα ransomware που στοχεύουν τους διακομιστές ESXi προσπαθούν να κλείσουν τις εικονικές μηχανές πριν κρυπτογραφήσουν τις μονάδες δίσκου. Αυτό γίνεται για να μην καταστραφούν τα δεδομένα ενώ είναι κρυπτογραφημένα.
Μόλις κλείσουν όλα τα εικονικά μηχανήματα, θα κρυπτογραφήσει αρχεία που ταιριάζουν με συγκεκριμένες επεκτάσεις αρχείων με βάση τη διαμόρφωση που περιλαμβάνεται στο ransomware.
Δείτε επίσης: Η επιχείρηση του DarkSide ransomware έκλεισε – οι συνεργάτες διαμαρτύρονται ότι δεν έχουν πληρωθεί
Η στόχευση διακομιστών ESXi είναι πολύ αποτελεσματική κατά τη διεξαγωγή επιθέσεων ransomware, καθώς επιτρέπει στους φορείς απειλής να κρυπτογραφούν ταυτόχρονα πολυάριθμους διακομιστές με μία μόνο εντολή.
Καθώς περισσότερες επιχειρήσεις μετακινούνται σε αυτόν τον τύπο πλατφόρμας για τους διακομιστές τους, οι προγραμματιστές ransomware θα επικεντρώνονται κυρίως σε μηχανές Windows.
