Η πιο πρόσφατη έκδοση του Royal Ransomware προσθέτει υποστήριξη για κρυπτογράφηση συσκευών Linux, στοχεύοντας κυρίως εικονικές μηχανές VMware ESXi (VMware ESXi virtual machines).
Πολλές άλλες συμμορίες ransomware έχουν δημιουργήσει encryptors για Linux συσκευές (π.χ. Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX και Hive).
Δείτε επίσης: Οι hackers Lazarus έκλεβαν δεδομένα επί 2 μήνες
Η νέα παραλλαγή Royal Ransomware που στοχεύει Linux, ανακαλύφθηκε από τον Will Thomas του Equinix Threat Analysis Center (ETAC) και εκτελείται χρησιμοποιώντας τη γραμμή εντολών. Προσφέρει, επίσης, υποστήριξη για πολλαπλά flags που θα δώσουν στους χειριστές ransomware κάποιο έλεγχο στη διαδικασία κρυπτογράφησης:
-stopvm > σταματά όλα τα VMs που εκτελούνται, ώστε να μπορούν να κρυπτογραφηθούν
-vmonly – κρυπτογράφηση μόνο εικονικών μηχανών
-fork – άγνωστο
-logs – άγνωστο
-id: το id πρέπει να είναι 32 χαρακτήρες
Κατά την κρυπτογράφηση των αρχείων, το ransomware θα προσαρτήσει την επέκταση .royal_u σε όλα τα κρυπτογραφημένα αρχεία στο VM.
Royal Ransomware
Το Royal Ransomware αποτελείται από έμπειρους hackers που είχαν συνεργαστεί στο παρελθόν με την επιχείρηση Conti ransomware. Εντοπίστηκε για πρώτη φορά τον Ιανουάριο του 2022, αλλά οι κακόβουλες δραστηριότητές του έγιναν πιο έντονες από τον Σεπτέμβριο και μετά.
Αρχικά, η ομάδα χρησιμοποιούσε encryptors από άλλες ransomware λειτουργίες, όπως το BlackCat. Ωστόσο, λίγο αργότερα, δημιούργησε τα δικά της εργαλεία ξεκινώντας από το Zeon που εμφάνιζε σημειώματα λύτρων παρόμοια με αυτά που δημιουργήθηκαν από την ομάδα Conti.
Στα μέσα Σεπτεμβρίου, η ομάδα μετονομάστηκε σε “Royal” και άρχισε να αναπτύσσει έναν νέο encryptor.
Δείτε επίσης: GoAnywhere MFT: Ευπάθεια αφήνει τους διακομιστές εκτεθειμένους
Τα λύτρα που ζητά η συμμορία διαφέρουν ανάλογα με το θύμα. Μπορεί να ζητά από 250.000 έως δεκάδες εκατομμύρια δολάρια.
Σε αντίθεση με άλλες ransomware ομάδες, η συμμορία Royal ransomware δεν διστάζει να επιτεθεί και σε νοσοκομεία. Τον Δεκέμβριο, το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HHS) προειδοποίησε για επιθέσεις Royal ransomware που στοχεύουν οργανισμούς στον τομέα της Υγείας και της Δημόσιας Υγείας (HPH).
Το Royal ransomware στοχεύει τώρα Linux
Η στροφή σε Linux συσκευές, δεν αποτελεί έκπληξη. Τα περισσότερα στελέχη ransomware στοχεύουν τώρα και στο Linux. Η στόχευση εικονικών μηχανών ESXi είναι αποτέλεσμα της μετάβασης ολοένα και περισσότερων επιχειρήσεων σε VM (επειδή προσφέρουν βελτιωμένη διαχείριση συσκευών και πολύ πιο αποτελεσματικό χειρισμό πόρων).
Δείτε επίσης: OilRig: Χρησιμοποιεί νέο backdoor για να κλέψει data από κυβερνητικές οργανώσεις
Μετά την ανάπτυξη των κακόβουλων payloads σε ESXi hosts, οι χειριστές ransomware χρησιμοποιούν μία μόνο εντολή για την κρυπτογράφηση πολλών διακομιστών.
Ο λόγος για τον οποίο οι περισσότερες ομάδες ransomware εφάρμοσαν μια έκδοση ransomware που βασίζεται σε Linux είναι για να στοχεύσουν συγκεκριμένα ESXi.
Δεκάδες χιλιάδες VMware ESXi servers που είναι εκτεθειμένοι στο Διαδίκτυο έφτασαν στο τέλος της ζωής τους τον Οκτώβριο. Αυτά τα συστήματα θα λαμβάνουν μόνο τεχνική υποστήριξη από εδώ και στο εξής, αλλά όχι ενημερώσεις ασφαλείας, γεγονός που τα καθιστά ευάλωτα σε επιθέσεις ransomware (Royal και όχι μόνο).
Το ransomware είναι μια από τις μεγαλύτερες απειλές σήμερα. Υπάρχουν, όμως, διάφορα μέτρα που μπορείτε να λάβετε για να προστατευτείτε από επιθέσεις ransomware:
- Διατηρήστε το λογισμικό και το λειτουργικό σας σύστημα ενημερωμένα με εγκατεστημένες όλες τις επιδιορθώσεις ασφαλείας
- Χρησιμοποιήστε λογισμικό προστασίας από ιούς και διατηρήστε το ενημερωμένο
- Δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας, ώστε να έχετε ένα αντίγραφο εκτός δικτύου
- Να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου και συνημμένα αρχεία από άγνωστους αποστολείς
- Μην κάνετε κλικ σε συνδέσμους σε μηνύματα ηλεκτρονικού ταχυδρομείου, εκτός αν είστε σίγουροι ότι είναι νόμιμοι
- Αποφύγετε τη λήψη πειρατικού λογισμικού
- Μην επισκέπτεστε ιστότοπους που περιέχουν κακόβουλο κώδικα
- Να είστε ενήμεροι για τις απόπειρες phishing από απατεώνες που προσπαθούν να αποκτήσουν πρόσβαση στις πληροφορίες σας.
Πηγή: www.bleepingcomputer.com