[ Tráfego 4/Out a 2/Nov: 341.857 page views - 134.359 usuários ] - [ Newsletter 5.481 assinantes Open rate 28%]

Versão Linux do ransomware Qilin se concentra no VMware ESXi

Da Redação
05/12/2023

Uma amostra do criptografador da gangue de ransomware Qilin direcionado ao VMware ESXi foi encontrada e pode ser um dos criptos Linux mais avançados e personalizáveis já vistos até hoje

As empresas estão migrando cada vez mais para máquinas virtuais para hospedar seus servidores, já que isso permite um uso melhor dos recursos de CPU, memória e armazenamento disponíveis. Devido a essa adoção em larga escala, quase todas as gangues de ransomware criaram criptografadores dedicados para atingir servidores VMware ESXi.

Enquanto muitos operadores de ransomware utilizam o código-fonte Balbuk vazado para criar seus criptografadores, alguns, como o Qilin, criam seus próprios criptos para atingir servidores Linux.

No mês passado, a equipe de pesquisadores de segurança MalwareHunterTeam encontrou um criptografador Linux ELF64 para o ransomware. Embora o criptografador possa ser usado em servidores Linux, FreeBSD e VMware ESXi, ele se concentra fortemente em criptografar máquinas virtuais e excluir seus snapshots(registros do estado de um sistema, aplicação ou arquivo).

O criptografador da Qilin é construído com uma configuração incorporada especificando a extensão para arquivos criptografados, os processos a serem encerrados, os arquivos a serem criptografados ou excluídos e as pastas a serem criptografadas ou excluídas.

No entanto, ele também inclui vários argumentos de linha de comando que permitem a personalização extensiva dessas opções de configuração e como os arquivos são criptografados em um servidor. Esses argumentos de linha de comando incluem opções para habilitar um modo de depuração, executar uma execução seca sem criptografar nenhum arquivo ou personalizar como as máquinas virtuais e seus instantâneos são criptografados. A configuração de uma lista de máquinas virtuais que não devem ser criptografadas também é possível. Ao executar o criptografador, o ransomware detectará se ele está sendo executado no servidor Linux, FreeBSD ou VMware ESXi.

Veja isso
Ransomware Qilin tem como alvo empresas de setores críticos
Versão Linux de novo ransomware mira servidores VMware ESXi

A operação de ransomware Qilin foi inicialmente lançada com o nome de “Agenda” em agosto de 2022. No entanto, em setembro, ele mudou a denominação para Qilin, identificação que continua a usar até hoje.

Como outras operações de ransomware direcionadas a empresas, o Qilin viola as redes de uma empresa e rouba dados à medida que se espalha lateralmente para outros sistemas. Quando termina de coletar os dados e obtém credenciais de administrador do servidor, os operadores da ameaça implantam o ransomware para criptografar todos os dispositivos na rede. Os dados roubados e os arquivos criptografados são usados como alavanca em ataques de dupla extorsão para coagir uma empresa a pagar um pedido de resgate.Desde o seu lançamento, a operação de ransomware teve um fluxo constante de vítimas, mas teve uma atividade crescente neste final de ano.

Compartilhar: