Versão Linux do ransomware Abyss Locker tem como alvo servidores VMware ESXi
31 de Julho de 2023

A operação Abyss Locker é a mais recente a desenvolver um encriptador Linux para visar a plataforma de máquinas virtuais VMware ESXi em ataques a empresas.

À medida que as empresas mudam de servidores individuais para máquinas virtuais para melhor gerenciamento de recursos, desempenho e recuperação de desastres, as gangues de ransomware criam encriptadores voltados para a plataforma.

Com o VMware ESXi sendo uma das plataformas de máquinas virtuais mais populares, quase todas as gangues de ransomware começaram a lançar encriptadores Linux para criptografar todos os servidores virtuais em um dispositivo.

Outras operações de ransomware que utilizam encriptadores de ransomware Linux, com a maioria visando o VMware ESXi, incluem Akira, Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX e Hive.

Abyss Locker é uma operação de ransomware relativamente nova que acredita-se ter sido lançada em março de 2023, quando começou a atacar empresas.

Como outras operações de ransomware, os atores de ameaças do Abyss Locker irão violar redes corporativas, roubar dados para extorsão dupla e criptografar dispositivos na rede.

Os dados roubados são então usados como alavancagem, ameaçando vazar arquivos se um resgate não for pago.

Para vazar os arquivos roubados, os atores de ameaças criaram um site de vazamento de dados Tor chamado 'Abyss-data' que atualmente lista quatorze vítimas.

Os atores de ameaças afirmam ter roubado entre 35 GB de dados de uma empresa a até 700 GB em outra.

Esta semana, o pesquisador de segurança MalwareHunterTeam encontrou um encriptador Linux ELF para a operação Abyss Locker e compartilhou-o com o BleepingComputer para análise.

Após examinar as strings no executável, fica claro que o encriptador tem como alvo específico os servidores VMware ESXi.

Como você pode ver nos comandos abaixo, o encriptador utiliza a ferramenta de gerenciamento de linha de comando 'esxcli' do VMware ESXi para primeiro listar todas as máquinas virtuais disponíveis e, em seguida, encerrá-las.

Ao desligar as máquinas virtuais, o Abyss Locker utilizará o comando 'vm process kill' e uma das opções suave, forte ou forcada.

A opção suave realiza um desligamento tranquilo, a opção forte encerra uma VM imediatamente e a força é usada como último recurso.

O encriptador encerra todas as máquinas virtuais para permitir que os discos virtuais associados, snapshots e metadados sejam devidamente criptografados, criptografando todos os arquivos com as seguintes extensões: .vmdk (discos virtuais), .vmsd (metadados) e .vmsn (snapshots).

Além de visar máquinas virtuais, o ransomware também criptografará todos os outros arquivos no dispositivo e anexará a extensão .crypt aos seus nomes de arquivo, conforme mostrado abaixo.

Para cada arquivo, o encriptador também criará um arquivo com uma extensão .README_TO_RESTORE, que atua como nota de resgate.

Esta nota de resgate contém informações sobre o que aconteceu com os arquivos e um link único para o site de negociação Tor do ator de ameaças.

Este site é básico, tendo apenas um painel de chat que pode ser usado para negociar com a gangue de ransomware.

O especialista em ransomware Michael Gillespie disse que o encriptador Linux Abyss Locker é baseado em Hello Kitty, usando criptografia ChaCha em vez disso.

No entanto, não se sabe se isso é uma rebranding da operação HelloKitty ou se outra operação de ransomware teve acesso ao código fonte do encriptador, como vimos com a Vice Society.

Infelizmente, HelloKitty tem sido historicamente um ransomware seguro, impedindo a recuperação de arquivos gratuitamente.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...