Versão Linux do ransomware BlackMatter visa servidores VMware ESXi
![Diego ⅽ[ː̠̈ː̠̈ː̠̈] ͌](https://miro.medium.com/v2/resize:fill:88:88/1*AdpbjS2I-8tu0tI_qi838Q.png){kind=small}
A partir da amostra que o criptografador Linux da BlackMatter compartilhou com o BleepingComputer, fica claro que ele foi projetado exclusivamente para atingir servidores VMWare ESXi.
A gangue BlackMatter se juntou às de operações de ransomware para desenvolver um criptografador Linux que tem como alvo a plataforma de máquinas virtuais ESXi da VMware.
A empresa está migrando em ritimo acelerado seus servidores para máquinas virtuais, melhorando o gerenciamento de recursos, prevenção e recuperação de desastres.
Com o VMware ESXi sendo a plataforma de máquina virtual mais popular, quase todas as operações de ransomware direcionadas à empresa começaram a liberar criptografadores que visam especificamente suas máquinas virtuais.
BlackMatter visa VMware ESXi
O pesquisador de segurança MalwareHunterTeam encontrou um criptografador Linux ELF64 [VirusTotal] para a gangue de ransomware BlackMatter que tem como alvo especificamente os servidores VMware ESXi com base em sua funcionalidade.
BlackMatter é uma operação de ransomware relativamente nova que começou no mês passado e acredita-se ser uma remarcação do DarkSide. Depois que os pesquisadores encontraram amostras, foi determinado que as rotinas de criptografia usadas pelo ransomware eram as mesmas personalizadas e únicas usadas pela DarkSide.
A DarkSide fechou após atacar e fechar a Colonial Pipeline e, em seguida, sentir a pressão total da aplicação internacional e do governo dos EUA.
A partir da amostra que o criptografador Linux da BlackMatter compartilhou com o BleepingComputer, fica claro que ele foi projetado exclusivamente para atingir servidores VMWare ESXi.
Vitali Kremez, da Advanced Intel, projetou a amostra reversa e disse ao site BleepingComputer que os autores da ameaça criaram uma biblioteca ‘esxi_utils’ que é usada para executar várias operações em servidores VMware ESXi
/sbin/esxcli
bool app::esxi_utils::get_domain_name(std::vector >&)
bool app::esxi_utils::get_running_vms(std::vector >&)
bool app::esxi_utils::get_process_list(std::vector >&)
bool app::esxi_utils::get_os_version(std::vector >&)
bool app::esxi_utils::get_storage_list(std::vector >&)
std::string app::esxi_utils::get_machine_uuid()
bool app::esxi_utils::stop_firewall()
bool app::esxi_utils::stop_vm(const string&)Kremez disse que cada função executaria um comando diferente usando a ferramenta de gerenciamento de linha de comando esxcli, como listar VMs, parar o firewall, parar uma VM e muito mais.
Por exemplo, stop_firewall() executará o seguinte comando:
esxcli network firewall set --enabled falseEnquanto o stop_vm() executará o seguinte comando esxcli:
esxcli vm process kill --type=force --world-id [ID]Todos os ransomware direcionados aos servidores ESXi tentam desligar máquinas virtuais antes de criptografar as unidades. Isso é feito para evitar que os dados sejam corrompidos durante o processo.
Uma vez que todas os VMs sejam desligados, ele criptografará arquivos que correspondem a extensões específicas de arquivos com base na configuração incluída com o ransomware.
Direcionar servidores ESXi é muito eficiente ao realizar ataques de ransomware, pois permite que os atores de ameaças criptografem vários servidores ao mesmo tempo com um único comando.
Fabian Wosar , o CTO da Emsisoft disse à BleepingComputer que outras operações de ransomware, como REvil, HelloKitty, Babuk, RansomExx/Defray, Mespinoza, GoGoogle, também criaram criptografadores Linux para este fim.
🐼 Umbler · CC BY-SA · Participe do Canal no Telegram
![Diego ⅽ[ː̠̈ː̠̈ː̠̈] ͌](https://miro.medium.com/v2/resize:fill:144:144/1*AdpbjS2I-8tu0tI_qi838Q.png)
