E a nova versão Linux do ransomware AvosLocker ataca servidores VMware ESXi. Confira os detalhes dessa perigosa ameaça digital.
AvosLocker é a mais recente gangue de ransomware que adicionou suporte para criptografar sistemas Linux às suas recentes variantes de malware, visando especificamente as máquinas virtuais VMware ESXi.
Versão Linux do ransomware AvosLocker ataca servidores VMware ESXi
Embora não tenhamos encontrado quais alvos foram atacados usando esta variante do AvosLocker ransomware Linux, o site BleepingComputer alega que conhece pelo menos uma vítima que foi atingida por uma demanda de resgate de US$ 1 milhão.
Vários meses atrás, a gangue AvosLocker também foi vista anunciando suas últimas variantes de ransomware, o Windows Avos2 e AvosLinux, enquanto fazia questão de alertar os afiliados para não atacarem alvos pós-soviéticos/CIS.
“As novas variantes (avos2/avoslinux) têm o melhor dos dois mundos a oferecer: alto desempenho e alta quantidade de criptografia em comparação com seus concorrentes”, disse a gangue.
Uma vez iniciado em um sistema Linux, o AvosLocker encerrará todas as máquinas ESXi no servidor usando o seguinte comando:
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'
Assim que começar a operar em um sistema comprometido, o ransomware anexará a extensão .avoslinux a todos os arquivos criptografados.
Ele também descarta notas de resgate pedindo às vítimas que não desliguem seus computadores para evitar corrupção de arquivos e visite um site onion para obter mais detalhes sobre como pagar o resgate.
O pesquisador de segurança MalwareHunterTeam disse ao site BleepingComputer que o AvosLocker começou a usar o criptografador Linux a partir de novembro de 2021.
A mudança do ransomware para o Linux
AvosLocker é uma gangue mais nova que surgiu pela primeira vez durante o verão de 2021, pedindo que afiliados de ransomware em fóruns clandestinos se juntassem à sua recém-lançada operação Ransomware-as-a-Service (RaaS).
A mudança para máquinas virtuais ESXi de destino está alinhada com seus destinos corporativos, que migraram recentemente para máquinas virtuais para facilitar o gerenciamento de dispositivos e o uso de recursos mais eficiente.
Ao direcionar as VMs, os operadores de ransomware também aproveitam a criptografia mais fácil e rápida de vários servidores com um único comando.
Desde outubro, o ransomware Hive começou a criptografar sistemas Linux e FreeBSD usando novas variantes de malware, meses depois que os pesquisadores detectaram um criptografador Linux ransomware REvil visando VMs VMware ESXi.
O CTO da Emsisoft, Fabian Wosar, disse ao BleepingComputer que outras gangues de ransomware, incluindo Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide e Hellokitty, também criaram e usaram seus próprios criptografadores Linux.
“A razão pela qual a maioria dos grupos de ransomware implementou uma versão baseada em Linux de seu ransomware é visar especificamente o ESXi.”, explicou Wosar.
As variantes Linux do ransomware HelloKitty e BlackMatter também foram descobertas por pesquisadores de segurança em julho e agosto, confirmando ainda mais a declaração de Wosar.
As operações de ransomware Snatch e PureLocker também foram observadas usando criptografadores Linux no passado.
