A Trend Micro publicou dia 24 de janeiro, terça-feira, um relatório da análise feita por pesquisadores sobre uma amostra do LockBit Linux-ESXi Locker versão 1.0. Ela foi localizada em outubro de 2021 no fórum clandestino RAMP, onde afiliados em potencial podem encontrá-la para ataque a sua lista de vítimas. Isso indica os esforços do grupo de ransomware LockBit para expandir seus alvos para hosts Linux. Essa variante pode ter um grande impacto nas organizações vítimas devido à forma como o ESXi, o hypervisor da VMware, ajuda no gerenciamento de servidores.
O lançamento desta variante está de acordo com a forma como os grupos de ransomware modernos estão mudando seus esforços para direcionar e criptografar hosts Linux, como servidores ESXi. Um servidor ESXi normalmente hospeda várias VMs, que por sua vez armazenam dados ou serviços importantes para uma organização. A criptografia bem-sucedida por ransomware de servidores ESXi pode, portanto, ter um grande impacto nas empresas-alvo. Essa tendência foi liderada por famílias de ransomware como REvil e DarkSide .
Veja isso
Nova variante do Mirai explora brecha em roteadores Comtrend
Banco da Flórida anunciado como vítima do Lockbit
O Lockbit Linux-ESXi Locker versão 1.0 usa uma combinação de algoritmos Advanced Encryption Standard (AES) e criptografia de curva elíptica (ECC) para criptografia de dados. Possui recursos de registro e pode obter as seguintes informações:
- Informações do processador
- Volumes no sistema
- Máquinas virtuais (VMs) para pular
- Total de arquivos
- Total de VMs
- Arquivos criptografados
- VMs criptografadas
- Tamanho total criptografado
- Tempo gasto para criptografia
Essa variante também contém comandos necessários para criptografar imagens de VM hospedadas em servidores ESXi, conforme listado na Tabela 1.
Comando | Descrição |
---|---|
vm-support –listvms | Obtenha uma lista de todas as VMs registradas e em execução |
lista de processos esxcli vm | Obter uma lista de VMs em execução |
esxcli vm process kill –type force –world-id | Desligue a VM da lista |
lista de sistema de arquivos de armazenamento esxcli | Verifique o status do armazenamento de dados |
/sbin/vmdumper %d suspend_v | Suspender VM |
vim-cmd hostsvc/enable_ssh | Ativar SSH |
vim-cmd hostsvc/autostartmanager/enable_autostart false | Desativar início automático |
vim-cmd hostsvc/hostsummary grep cpuModel | Determinar o modelo de CPU ESXi |
A nota de resgate é típica dos ataques LockBit. Ele anuncia a velocidade do LockBit 2.0 , lista os sites de vazamento onde o grupo LockBit ameaça publicar informações roubadas e termina com um anúncio de recrutamento para potenciais insiders atraindo-os com “milhões de dólares” em troca de acesso a dados valiosos da empresa.
Com informações da assessoria de imprensa