Το AvosLocker είναι ένα από τα πιο πρόσφατα ransomware και τώρα φαίνεται ότι η συμμορία πίσω από αυτό, έχει προσθέσει υποστήριξη για την κρυπτογράφηση συστημάτων Linux, στοχεύοντας συγκεκριμένα VMware ESXi virtual machines.
Σύμφωνα με το BleepingComputer, υπάρχει τουλάχιστον ένα θύμα που χτυπήθηκε από αυτή τη Linux παραλλαγή του AvosLocker και έλαβε αίτημα λύτρων ύψους 1 εκατομμυρίου δολαρίων.
Πριν από αρκετούς μήνες, η συμμορία AvosLocker διαφήμιζε τις τελευταίες της παραλλαγές ransomware, τα Windows Avos2 και AvosLinux.
Δείτε επίσης: Το νέο ransomware Night Sky στοχεύει εταιρικά δίκτυα
“Οι νέες παραλλαγές (avos2 / avoslinux) έχουν να προσφέρουν ό,τι καλύτερο: υψηλή απόδοση και υψηλό επίπεδο κρυπτογράφησης σε σύγκριση με τους ανταγωνιστές“, είπε η συμμορία.
Τερματισμός των ESXi virtual machines πριν από την κρυπτογράφηση
Κατά την εκκίνηση σε σύστημα Linux, το AvosLocker ransomware θα τερματίσει όλα τα ESXi machines στον server, χρησιμοποιώντας την ακόλουθη εντολή:
esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” vm process list | tail -n +2 | awk -F $’,’ ‘{system(“esxcli vm process kill –type=force –world-id=” $1)}’
Μόλις αρχίσει να λειτουργεί σε ένα παραβιασμένο σύστημα, το ransomware θα προσαρτήσει την επέκταση .avoslinux σε όλα τα κρυπτογραφημένα αρχεία.
Στη συνέχεια, θα εμφανίσει σημειώματα λύτρων. Τα σημειώματα αυτά ζητούν από τα θύματα να μην κλείσουν τους υπολογιστές τους, αν θέλουν να αποφύγουν την καταστροφή των αρχείων τους, και τους προτείνουν να επισκεφτούν ένα onion site για να μάθουν περισσότερες λεπτομέρειες σχετικά με τον τρόπο πληρωμής των λύτρων.
Δείτε επίσης: FinalSite: Δεν κλάπηκαν σχολικά δεδομένα από την επίθεση ransomware
Λέγεται ότι το AvosLocker άρχισε να στοχεύει Linux συστήματα τον Νοέμβριο του 2021.
AvosLocker Ransomware: Στροφή στο Linux
Η AvosLocker είναι μια νεότερη συμμορία ransomware που εμφανίστηκε για πρώτη φορά το καλοκαίρι του 2021 και καλούσε ransomware affiliates να συμμετάσχουν στη νέα τους Ransomware-as-a-Service (RaaS) επιχείρηση.
Η στόχευση ESXi virtual machines ευθυγραμμίζεται με τις κινήσεις των στόχων τους, οι οποίοι έχουν αρχίσει να στρέφονται σε virtual machines για ευκολότερη διαχείριση συσκευών και πιο αποτελεσματική χρήση πόρων.
Στοχεύοντας τα VM, οι χειριστές ransomware εκμεταλλεύονται επίσης την ευκολότερη και ταχύτερη κρυπτογράφηση πολλών servers με μία μόνο εντολή.
Δείτε επίσης: Όλο και περισσότερες οι DDoS επιθέσεις που ζητούν λύτρα
Το τελευταίο διάστημα, όλο και περισσότερες συμμορίες ransomware στοχεύουν Linux συστήματα. Από τον Οκτώβριο, το Hive ransomware άρχισε να κρυπτογραφεί συστήματα Linux και FreeBSD χρησιμοποιώντας νέες παραλλαγές κακόβουλου λογισμικού. Νωρίτερα, ερευνητές ασφαλείας είχαν εντοπίσει τη συμμορία REvil με ένα Linux encryptor που στόχευε τα VMware ESXi VM.
Σύμφωνα με τον CTO της Emsisoft, Fabian Wosar, άλλες συμμορίες ransomware, συμπεριλαμβανομένων των DarkSide, Babuk, RansomExx/Defray, Mespinoza, GoGoogle και Hellokitty, έχουν επίσης δημιουργήσει και χρησιμοποιήσει τα δικά τους Linux encryptors.
“Ο λόγος για τον οποίο οι περισσότερες ομάδες ransomware εφάρμοσαν μια Linux-based version του ransomware τους είναι για να στοχεύσουν συγκεκριμένα το ESXi“, εξήγησε ο Wosar.
Πηγή: Bleeping Computer