به گزارش کارگروه حملات سایبری سایبربان؛ گروه باج افزاری REvil در حال استفاده از رمز نگار لینوکسی است که ماشین مجازی Vmware ESXi را رمز نگاری می کند و مورد هدف قرار می دهد.
گروه های باج افزاری به طور فزاینده ای در حال ساخت ابزار برای رمزنگاری گسترده فضای ذخیره سازی مورد استفاده در ماشین های مجازی هستند.
یکی از متخصصین امنیتی اینتل در ماه می پستی را منتشر کرد مبنی بر اینکه گروه REvil، انتشار نسخه لینوکس رمزنگار خود را تایید کرده بود. آن ها مدعی بودند رمز نگار آن ها، توانایی کار بر روی دستگاه های NAS را دارد.
اما امروز گروه امنیتی MalwareHunterTeam نسخه لینوکسی از رمزنگار باج افزار REvil را شناسایی کرد که سرورهای ESXi را نیز مورد هدف قرار می دهد.
طبق بررسی های صورت گرفته بر روی گونه جدید رمز نگار لینوکس REvil، این رمز نگار یک فایل اجرایی ELF64 است که تنظیمات پیکربندی آن، مشابه دیگر فایل های اجرایی متداول ویندوز می باشد.
هنگامی که این رمزنگار بر روی یک سرور اجرا می شود، بازیگر مخرب می تواند علاوه بر تعیین مسیر رمزنگاری، حالت سایلنت دستگاه را نیز فعال کند.
این رمزنگار در صورت اجرا بر روی سرورهای ESXi می تواند ابزار خط فرمان esxcli را با هدف لیست کردن همه ی ماشین های مجازی در حال اجرا، لیست و نابود کند.
فرمان زیر می تواند در جهت بستن فایل های دیسک ذخیره شده بر روی فولدر /vmfs/ ماشین مجازی مورد استفاده قرار بگیرد:
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | awk -F ""*,"*" '{system("esxcli vm process kill --type=force --world-id=" $1)}'
بنابراین بدافزار گروه باج افزاری REvil می تواند فایل ها را بدون قفل شدن آن ها توسط ESXi، رمزنگاری کند.
در صورتی که ماشین مجازی پیش از رمزنگاری شدن فایل هایش به درستی بسته نشود، احتمال خرابی داده بالا خواهد بود.
REvil می تواند با استفاده از این روش، تنها با یک فرمان، سرورهای زیادی را به صورت همزمان رمزنگاری کند.
گروه های باج افزاری دیگری مانند بابوک و دارک ساید نیز رمزنگارهای لینوکس اختصاصی خود را برای هدف قرار دادن ماشین های مجازی ESXi طراحی کرده اند.
