VMware ESXi alt yapılarını etkileyen yeni bir ransomware varyantı keşfedildi. The REvil ransomware tarafından kullanılan ransomware Linux tabanlı bir şifreleyeci.
Saldırı tipine bakıldığında son zamanlarda çok görülen ve sanallaştırma alt yapılarında vm’lerin depolanması için kullanılan alanlara saldırıyor. Bu alanları şifrelenerek tüm sanllaştırma alt yapısı ele geçirilmiş oluyor.
Mayıs ayında Advanced Intel’den Yelisey Boguslavskiy , REvil operasyonundan bir forum gönderisini paylaştı ve burada şifreleyicilerinin NAS cihazlarında da çalışabilecek bir Linux sürümünü yayınladıklarını kanıtladılar.
Yeni REvil Linux varyantını analiz eden Advanced Intel’den Vitali Kremez, Linux varyantının piyasaya sürülmesinden bu yana ilk kez halka açık hale geldiğini belirtiyor.
Bir sunucuda çalıştırıldığında, aşağıdaki kullanım talimatlarında gösterildiği gibi, şifreleme yolunu belirleyebilir ve sessiz modu etkinleştirebilir.
Usage example: elf.exe --path /vmfs/ --threads 5
without --path encrypts current dir
--silent (-s) use for not stoping VMs mode
!!!BY DEFAULT THIS SOFTWARE USES 50 THREADS!!!
ESXi sunucularında çalıştırıldığında, çalışan tüm ESXi sanal makinelerini listelemek ve kapatmak için esxcli komutu çalıştırması yeterli oluyor.
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | awk -F ""*,"*" '{system("esxcli vm process kill --type=force --world-id=" $1)}'
Bu komut, /vmfs/ klasöründe depolanan sanal makine diski (VMDK) dosyalarını kapatmak için kullanılıyor, böylece REvil fidye yazılımı ESXi tarafından kilitlenmeden dosyaları şifreleyebilir.
Bir sanal makine dosyasını şifrelemeden önce doğru şekilde kapatılmazsa, Emsisoft CTO’su Fabian Wosar tarafından açıklandığı gibi veri bozulmasına neden olabiliyor. REvil, sanal makineleri bu şekilde hedefleyerek tek bir komutla birçok sunucuyu aynı anda şifreleyebiliyor.
Kaynak: bleepingcomputer.com