Το Black Basta ransomware, έχει πλέον τη δυνατότητα να κρυπτογραφεί εικονικές μηχανές VMware ESXi (VM), που εκτελούνται σε εταιρικούς διακομιστές Linux.
Δείτε επίσης: QBot malware και Black Basta ransomware συνεργάζονται και στοχεύουν εταιρείες
Οι περισσότερες ομάδες ransomware εστιάζουν τώρα τις επιθέσεις τους σε εικονικά μηχανήματα ESXi, καθώς στοχεύουν όλο και περισσότερες εταιρείες. Καθιστά επίσης δυνατή την αξιοποίηση της ταχύτερης κρυπτογράφησης πολλών διακομιστών με μία μόνο εντολή.
Η κρυπτογράφηση εικονικών μηχανών είναι η νέα επιλογή των κυβερνοεγκληματιών, καθώς πολλές εταιρείες έχουν πρόσφατα μεταναστεύσει σε εικονικές μηχανές, που τους επιτρέπουν την ευκολότερη διαχείριση συσκευών και την πολύ πιο αποτελεσματική χρήση των πόρων τους.
Σε μια νέα έκθεση, οι αναλυτές της Uptycs Threat Research αποκάλυψαν ότι εντόπισαν νέα δυαδικά ransomware Black Basta, που στοχεύουν ειδικά διακομιστές VMWare ESXi.
Οι κρυπτογραφητές ransomware Linux δεν είναι κάτι καινούργιο, αφού παρόμοιοι κρυπτογραφητές έχουν κυκλοφορήσει από πολλές άλλες συμμορίες, συμπεριλαμβανομένων των LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX και Hive.
Δείτε ακόμα: Black Basta ransomware: Δεκάδες επιθέσεις σε λίγες μόνο εβδομάδες
Όπως και άλλοι κρυπτογραφητές Linux, το δυαδικό ransomware του Black Basta θα αναζητήσει τους /vmfs/τόμους όπου είναι αποθηκευμένες οι εικονικές μηχανές στους παραβιασμένους διακομιστές ESXi.
Το ransomware χρησιμοποιεί τον αλγόριθμο ChaCha20 για την κρυπτογράφηση των αρχείων. Εκμεταλλεύεται επίσης το multithreading για τη χρήση πολλαπλών επεξεργαστών και την επιτάχυνση της διαδικασίας κρυπτογράφησης.
Κατά την κρυπτογράφηση, το ransomware θα προσθέσει την επέκταση .basta στα ονόματα των κρυπτογραφημένων αρχείων και θα δημιουργήσει σημειώματα λύτρων με το όνομα readme.txt σε κάθε φάκελο.
Τα σημειώματα περιλαμβάνουν έναν σύνδεσμο προς τον πίνακα υποστήριξης συνομιλίας και ένα μοναδικό αναγνωριστικό που μπορούν να χρησιμοποιήσουν τα θύματα για να επικοινωνήσουν με τους εισβολείς.
Δείτε επίσης: EnemyBot malware: Εκμεταλλεύεται κρίσιμα bugs VMware, F5 BIG-IP
Αν και δεν είναι γνωστά πολλά στοιχεία σχετικά με αυτή τη νέα συμμορία ransomware, μάλλον δεν πρόκειται για μια νέα επιχείρηση, αλλά για μια αλλαγή επωνυμίας, πιθανότατα του Conti ransomware. Αυτό φαίνεται και από την αποδεδειγμένη ικανότητά τους να παραβιάζουν γρήγορα νέα θύματα και από τον τρόπο που κάνουν τις διαπραγματεύσεις.
, σε εταιρικούς διακομιστές Linux.){kind=link}