BlackMatter Fidye Çetesinin Linux Sürümü, VMware ESXi Sunucularını Hedefliyor
BlackMatter fidye çetesi, VMware’in ESXi platformunu hedefleyen bir Linux tabanlı bir şifreleyici geliştirmek için çalıştığı ortaya çıktı.
Güvenlik araştırmacıları MalwareHunterTeam , BlackMatter fidye yazılımı çetesine ait özel olarak VMware ESXi sunucularını hedefleyen bir Linux ELF64 şifreleyici bulduklarını açıkladı. ESXi sunucularını hedefleyen fidye yazılımı verilerin bozulmasının önüne geçmek ilk olarak tüm sanal makineleri kapatıyorlar sonrasında vm’leri şifreleriyorlar.
Intel’den Vitali Kremez, saldırganların VMware ESXi sunucularında çeşitli işlemleri gerçekleştirmek için kullanılan bir ‘esxi_utils’ oluşturulduğunu açıkladı.
sbin/esxcli
bool app::esxi_utils::get_domain_name(std::vector >&)
bool app::esxi_utils::get_running_vms(std::vector >&)
bool app::esxi_utils::get_process_list(std::vector >&)
bool app::esxi_utils::get_os_version(std::vector >&)
bool app::esxi_utils::get_storage_list(std::vector >&)
std::string app::esxi_utils::get_machine_uuid()
bool app::esxi_utils::stop_firewall()
bool app::esxi_utils::stop_vm(const string&)
Kremez, esxcli komut satırı yönetim aracını kullanarak VM’leri listeleme, güvenlik duvarını durdurma, bir VM’yi durdurma ve daha fazlasının yapılabileceğini söyledi.
Örneğin, stop_firewall() aşağıdaki komutu çalıştıracaktır.
esxcli network firewall set --enabled false
stop_vm() aşağıdaki esxcli komutunu çalıştırıyor.
esxcli vm process kill --type=force --world-id [ID]
ESXi sunucularının hedeflenmesi, saldırganların tek bir komutla aynı anda çok sayıda sunucuyu şifrelemesine olanak tanıdığından, fidye çeteleri için gözdelerden birisi haline gelmiş durumda. Bu güne kadar ayın method ile saldırı yapılan fidye çeteleri ise bu şekilde: REvil ,HelloKitty ,Babuk, RansomExx/Defray , Mespinoza, GoGoogle.
Kaynak: bleepingcomputer.com