LockBit Fidye Yazılımının Linux Sürümü, VMware ESXi Sunucularını Hedefliyor
LockBit, Linux şifreleyicisinin VMware ESXi sanal makinelerinin şifrelenmesine odaklandığı keşfedilen en yeni fidye yazılımı çetesidir.
Kuruluş, bilgisayar kaynaklarından tasarruf etmek, sunucuları birleştirmek ve daha kolay yedeklemeler için giderek daha fazla sanal makinelere geçiyor.
Bu nedenle, fidye yazılımı çeteleri, geçtiğimiz yıl boyunca özellikle popüler VMware vSphere ve ESXi sanallaştırma platformlarını hedefleyen Linux şifreleyicileri oluşturmak için taktiklerini geliştirdiler.
ESXi kesinlikle Linux olmasa da, ELF64 Linux yürütülebilir dosyalarını çalıştırma yeteneği de dahil olmak üzere birçok özelliğini paylaşır.
Lockbit, VMware ESXi sunucularını hedefliyor
Ekim ayında LockBit, VMware ESXi sanal makinelerini hedefleyen yeni bir Linux şifreleyici de dahil olmak üzere, RAMP bilgisayar korsanlığı forumlarında Ransomware-as-a-Service yeni özelliklerini tanıtmaya başladı.
Trend Micro araştırmacıları yeni bir raporda, fidye yazılımı çetesinin Linux şifreleyicisini analiz etti ve VMWare ESXi ve vCenter kurulumlarını hedeflemek için nasıl kullanıldığını açıkladı.
BleepingComputer'ın geçmişte HelloKitty, BlackMatter, REvil, AvosLocker ve Hive fidye yazılımı operasyonlarından benzer şifreleyiciler hakkında rapor vermesiyle Linux şifreleyicileri yeni bir şey değil.
Diğer Linux şifreleyicileri gibi, LockBit de bağlı kuruluşların saldırılarını uyarlamak için çeşitli özellikleri etkinleştirmelerine ve devre dışı bırakmalarına olanak tanıyan bir komut satırı arabirimi sağlar.
Bu özellikler, aşağıdaki resimde gösterildiği gibi, bir dosyanın ne kadar büyük olduğunu ve kaç baytın şifreleneceğini, sanal makinelerin çalışmasının durdurulup durdurulmayacağını veya sonrasında boş alanın silinip silinmeyeceğini belirleme yeteneğini içerir.
Bununla birlikte, LockBit linux şifreleyiciyi öne çıkaran şey, hangi sanal makinelerin çalıştığını kontrol etmek ve şifrelenirken bozulmamaları için onları temiz bir şekilde kapatmak için hem VMware ESXI hem de VMware vCenter komut satırı yardımcı programlarının yaygın olarak kullanılmasıdır.
Trend Micro tarafından LockBit'in şifreleyicisinde görülen komutların tam listesi aşağıda listelenmiştir:
| Komut | Açıklama |
|---|---|
| vm-support --listvms | Kayıtlı ve çalışan tüm VM'lerin bir listesini alın |
| esxcli vm process list | Çalışan VM'lerin bir listesini alın |
| esxcli vm process kill --type force --world-id | Listeden VM'yi kapatın |
| esxcli storage filesystem list | Veri depolama durumunu kontrol edin |
| /sbin/vmdumper %d suspend_v | Sanal makineyi askıya al |
| vim-cmd hostsvc/enable_ssh | SSH'yi etkinleştir |
| vim-cmd hostsvc/autostartmanager/enable_autostart false | Otomatik başlatmayı devre dışı bırak |
| vim-cmd hostsvc/hostsummary grep cpuModel | ESXi CPU modelini belirleyin |
Trend Micro, şifreleyicinin dosyaları şifrelemek için AES'yi ve şifre çözme anahtarlarını şifrelemek için eliptik eğri şifreleme (ECC) algoritmalarını kullandığını belirtir.
Kuruluşta VMware ESXI'nin yaygın kullanımıyla birlikte, tüm ağ savunucuları ve güvenlik uzmanları, her büyük fidye yazılımı işleminin zaten bir Linux varyantı geliştirdiğini beklemelidir.
Yöneticiler ve güvenlik uzmanları, bu varsayımı yaparak, yalnızca Windows aygıtları yerine ağlarındaki tüm aygıtları korumak için uygun savunmalar ve planlar oluşturabilir.
Bu, özellikle REvil kapatıldığından beri en belirgin fidye yazılımı işlemi haline gelen ve şifreleyicilerinin hızı ve özellik seti ile gurur duyan LockBit işlemi için geçerlidir.
Fidye yazılımı çetelerini izlediğimiz kadar onların da bizi izlediklerini unutmamak çok önemlidir.
Bu, araştırmacıların ve gazetecilerin sosyal beslemelerini en son taktikler, savunmalar ve daha sonra kurumsal hedeflere karşı kullanabilecekleri güvenlik açıkları için izledikleri anlamına gelir.
Bu nedenle, fidye yazılımı çeteleri, güvenlik ve Windows yöneticilerinden bir adım önde olmaya çalışmak için şifrelemelerini ve taktiklerini sürekli olarak geliştiriyor.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
