lockbit

LockBit Fidye Yazılımının Linux Sürümü, VMware ESXi Sunucularını Hedefliyor

LockBit, Linux şifreleyicisinin VMware ESXi sanal makinelerinin şifrelenmesine odaklandığı keşfedilen en yeni fidye yazılımı çetesidir.

Kuruluş, bilgisayar kaynaklarından tasarruf etmek, sunucuları birleştirmek ve daha kolay yedeklemeler için giderek daha fazla sanal makinelere geçiyor.

Bu nedenle, fidye yazılımı çeteleri, geçtiğimiz yıl boyunca özellikle popüler VMware vSphere ve ESXi sanallaştırma platformlarını hedefleyen Linux şifreleyicileri oluşturmak için taktiklerini geliştirdiler.

ESXi kesinlikle Linux olmasa da, ELF64 Linux yürütülebilir dosyalarını çalıştırma yeteneği de dahil olmak üzere birçok özelliğini paylaşır.

Lockbit, VMware ESXi sunucularını hedefliyor

Ekim ayında LockBit, VMware ESXi sanal makinelerini hedefleyen yeni bir Linux şifreleyici de dahil olmak üzere, RAMP bilgisayar korsanlığı forumlarında Ransomware-as-a-Service yeni özelliklerini tanıtmaya başladı.

Trend Micro araştırmacıları yeni bir raporda, fidye yazılımı çetesinin Linux şifreleyicisini analiz etti ve VMWare ESXi ve vCenter kurulumlarını hedeflemek için nasıl kullanıldığını açıkladı.

BleepingComputer'ın geçmişte HelloKitty, BlackMatter, REvil, AvosLocker ve Hive fidye yazılımı operasyonlarından benzer şifreleyiciler hakkında rapor vermesiyle Linux şifreleyicileri yeni bir şey değil.

Diğer Linux şifreleyicileri gibi, LockBit de bağlı kuruluşların saldırılarını uyarlamak için çeşitli özellikleri etkinleştirmelerine ve devre dışı bırakmalarına olanak tanıyan bir komut satırı arabirimi sağlar.

Bu özellikler, aşağıdaki resimde gösterildiği gibi, bir dosyanın ne kadar büyük olduğunu ve kaç baytın şifreleneceğini, sanal makinelerin çalışmasının durdurulup durdurulmayacağını veya sonrasında boş alanın silinip silinmeyeceğini belirleme yeteneğini içerir.

lockbit
LockBit Linux şifreleyici komut satırı bağımsız değişkenleri

Bununla birlikte, LockBit linux şifreleyiciyi öne çıkaran şey, hangi sanal makinelerin çalıştığını kontrol etmek ve şifrelenirken bozulmamaları için onları temiz bir şekilde kapatmak için hem VMware ESXI hem de VMware vCenter komut satırı yardımcı programlarının yaygın olarak kullanılmasıdır.

Trend Micro tarafından LockBit'in şifreleyicisinde görülen komutların tam listesi aşağıda listelenmiştir:

KomutAçıklama
vm-support --listvmsKayıtlı ve çalışan tüm VM'lerin bir listesini alın
esxcli vm process listÇalışan VM'lerin bir listesini alın
esxcli vm process kill --type   force --world-idListeden VM'yi kapatın
esxcli storage filesystem listVeri depolama durumunu kontrol edin
/sbin/vmdumper %d suspend_vSanal makineyi askıya al
vim-cmd hostsvc/enable_sshSSH'yi etkinleştir
vim-cmd hostsvc/autostartmanager/enable_autostart falseOtomatik başlatmayı devre dışı bırak
vim-cmd hostsvc/hostsummary grep cpuModelESXi CPU modelini belirleyin

Trend Micro, şifreleyicinin dosyaları şifrelemek için AES'yi ve şifre çözme anahtarlarını şifrelemek için eliptik eğri şifreleme (ECC) algoritmalarını kullandığını belirtir.

Kuruluşta VMware ESXI'nin yaygın kullanımıyla birlikte, tüm ağ savunucuları ve güvenlik uzmanları, her büyük fidye yazılımı işleminin zaten bir Linux varyantı geliştirdiğini beklemelidir.

Yöneticiler ve güvenlik uzmanları, bu varsayımı yaparak, yalnızca Windows aygıtları yerine ağlarındaki tüm aygıtları korumak için uygun savunmalar ve planlar oluşturabilir.

Bu, özellikle REvil kapatıldığından beri en belirgin fidye yazılımı işlemi haline gelen ve şifreleyicilerinin hızı ve özellik seti ile gurur duyan LockBit işlemi için geçerlidir.

Fidye yazılımı çetelerini izlediğimiz kadar onların da bizi izlediklerini unutmamak çok önemlidir.

Bu, araştırmacıların ve gazetecilerin sosyal beslemelerini en son taktikler, savunmalar ve daha sonra kurumsal hedeflere karşı kullanabilecekleri güvenlik açıkları için izledikleri anlamına gelir.

Bu nedenle, fidye yazılımı çeteleri, güvenlik ve Windows yöneticilerinden bir adım önde olmaya çalışmak için şifrelemelerini ve taktiklerini sürekli olarak geliştiriyor.


Kaynak: https://www.bleepingcomputer.com/news/security/linux-version-of-lockbit-ransomware-targets-vmware-esxi-servers/


Bu içerik ilginizi çektiyse LinkedIn ve Twitter hesaplarımı takip edebilir, daha fazla içeriğe erişebilirsiniz.


E-posta listesine katılın

Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.

Haber bültenine kaydolduğunuz için teşekkürler!

Something went wrong.

Yorum Bırakın

LockBit Fidye Yazılımının Linux Sürümü, VMware ESXi Sunucularını Hedefliyor