La versión Linux del ransomware LockBit apunta a los servidores VMware ESXi
LockBit es la pandilla de ransomware más reciente cuyo cifrador de Linux se ha descubierto que se centra en el cifrado de máquinas virtuales VMware ESXi.
La empresa se está moviendo cada vez más hacia las máquinas virtuales para ahorrar recursos informáticos, consolidar servidores y realizar copias de seguridad más fácilmente.
Debido a esto, las pandillas de ransomware han desarrollado sus tácticas para crear cifrados de Linux que apuntan específicamente a las populares plataformas de virtualización VMware vSphere y ESXi durante el año pasado.
Si bien ESXi no es estrictamente Linux, comparte muchas de sus características, incluida la capacidad de ejecutar ejecutables ELF64 Linux.
Lockbit apunta a servidores VMware ESXi
En octubre, LockBit comenzó a promocionar las nuevas características de su operación Ransomware-as-a-Service en los foros de piratería de RAMP, incluido un nuevo cifrador de Linux que se dirige a las máquinas virtuales VMware ESXi.
En un nuevo informe, los investigadores de Trend Micro analizaron el cifrador de Linux de la banda de ransomware y explicaron cómo se usa para atacar las instalaciones de VMWare ESXi y vCenter.
Los encriptadores de Linux no son nada nuevo, con BleepingComputer informando sobre encriptadores similares en el pasado de las operaciones de ransomware HelloKitty, BlackMatter, REvil, AvosLocker y Hive.
Al igual que otros encriptadores de Linux, LockBits proporciona una interfaz de línea de comandos que permite a los afiliados habilitar y deshabilitar varias funciones para adaptar sus ataques.
Estas características incluyen la capacidad de especificar el tamaño de un archivo y cuántos bytes cifrar, si dejar de ejecutar máquinas virtuales o borrar el espacio libre después, como se muestra en la imagen a continuación.
Fuente: Trend Micro
Sin embargo, lo que hace que el cifrador de Linux LockBit se destaque es el amplio uso de las utilidades de línea de comandos VMware ESXI y VMware vCenter para verificar qué máquinas virtuales se están ejecutando y apagarlas limpiamente para que no se dañen mientras se cifran.
La lista completa de comandos vistos por Trend Micro en el cifrador de LockBit se enumeran a continuación:
| Mando | Descripción |
|---|---|
| vm-soporte --listvms | Obtenga una lista de todas las máquinas virtuales registradas y en ejecución |
| lista de procesos de máquina virtual esxcli | Obtener una lista de máquinas virtuales en ejecución |
| esxcli vm proceso matar --tipo de fuerza --world-id | Apague la máquina virtual de la lista |
| lista de sistemas de archivos de almacenamiento esxcli | Comprobar el estado del almacenamiento de datos |
| /sbin/vmdumper%d suspend_v | Suspender máquina virtual |
| vim-cmd hostsvc / enable_ssh | Habilitar SSH |
| vim-cmd hostsvc / autostartmanager / enable_autostart falso | Deshabilitar inicio automático |
| vim-cmd hostsvc / hostsummary grep cpuModel | Determinar el modelo de CPU ESXi |
Trend Micro afirma que el cifrador utiliza AES para cifrar archivos y algoritmos de criptografía de curva elíptica (ECC) para cifrar las claves de descifrado.
Con el uso generalizado de VMware ESXI en la empresa, todos los defensores de la red y los profesionales de la seguridad deben esperar que cada gran operación de ransomware ya haya desarrollado una variante de Linux.
Al hacer esta suposición, los administradores y los profesionales de seguridad pueden crear defensas y planes apropiados para proteger todos los dispositivos en sus redes, en lugar de solo los dispositivos de Windows.
Esto es especialmente cierto para la operación LockBit, que se ha convertido en la operación de ransomware más destacada desde que cerró REvil y se enorgullece de la velocidad y el conjunto de funciones de sus codificadores.
También es vital recordar que por mucho que estemos observando pandillas de ransomware, también nos están observando.
Esto significa que monitorean las redes sociales de los investigadores y periodistas en busca de las últimas tácticas, defensas y vulnerabilidades que luego pueden usar contra los objetivos corporativos.
Debido a esto, las pandillas de ransomware evolucionan constantemente sus cifrados y tácticas para tratar de mantenerse un paso por delante de la seguridad y los administradores de Windows.
Descubre más contenido