-
09/04/2020
-
85
-
557 bài viết
Biến thể LockBit cho Linux nhắm mục tiêu vào máy chủ VMware ESXi
Các doanh nghiệp đang dần chuyển sang sử dụng máy ảo để tiết kiệm tài nguyên máy tính, củng cố máy chủ và sao lưu dễ dàng hơn. Do đó, những kẻ đứng sau ransomware đã tạo ra các bộ mã hóa Linux nhắm mục tiêu đến các nền tảng ảo hóa phổ biến VMware vSphere và ESXi.
ESXi không như Linux, nó có nhiều đặc điểm, bao gồm khả năng chạy các tệp thực thi ELF64 Linux.
Lockbit nhắm mục tiêu máy chủ VMware ESXi
Vào tháng 10, LockBit đã bắt đầu “rêu rao” các tính năng mới của hoạt động Ransomware-as-a-Service trên các diễn đàn RAMP, bao gồm một trình mã hóa Linux mới nhắm mục tiêu vào các máy ảo VMware ESXi.
Trong một báo cáo mới, các nhà nghiên cứu của Trend Micro đã phân tích trình mã hóa Linux của băng nhóm ransomware và giải thích cách sử dụng nhắm mục tiêu cài đặt VMWare ESXi và vCenter.
BleepingComputer cho rằng các bộ mã hóa cho Linux không có gì mới, tương tự hoạt động của các mã độc trước đây như HelloKitty, BlackMatter, Revil, AvosLocker. Giống như các bộ mã hóa Linux khác, LockBits cung cấp giao diện dòng lệnh cho phép bật hoặc tắt các tính năng khác nhau để điều chỉnh cuộc tấn công.
Các tính năng này bao gồm khả năng chỉ định dung lượng tệp và số lượng byte để mã hóa, dừng chạy máy ảo hay xóa sạch dung lượng trống sau đó. Tuy nhiên, điều làm cho LockBit sử dụng trình mã hóa Linux là tiện ích dòng lệnh VMware ESXI và VMware vCenter để kiểm tra xem máy ảo nào đang chạy và tắt chúng một cách “gọn gàng” để chúng không bị lỗi khi được mã hóa.
Danh sách đầy đủ các lệnh được Trend Micro phát hiện trong trình mã hóa của LockBit được liệt kê dưới đây:
Trend Micro công bố AES để mã hóa các tệp và thuật toán mã hóa elliptic (ECC) để mã hóa các khóa giải mã. Với việc sử dụng rộng rãi VMware ESXI trong doanh nghiệp, tất cả các chuyên gia an ninh mạng nên lường trước mọi hoạt động của ransomware đã phát triển biến thể Linux. Bằng cách đưa ra giả định này, quản trị viên và các chuyên gia an ninh mạng được khuyến cáo nên phòng thủ và có kế hoạch bảo vệ hệ thống bên cạnh Windows.
ESXi không như Linux, nó có nhiều đặc điểm, bao gồm khả năng chạy các tệp thực thi ELF64 Linux.
Lockbit nhắm mục tiêu máy chủ VMware ESXi
Vào tháng 10, LockBit đã bắt đầu “rêu rao” các tính năng mới của hoạt động Ransomware-as-a-Service trên các diễn đàn RAMP, bao gồm một trình mã hóa Linux mới nhắm mục tiêu vào các máy ảo VMware ESXi.
Trong một báo cáo mới, các nhà nghiên cứu của Trend Micro đã phân tích trình mã hóa Linux của băng nhóm ransomware và giải thích cách sử dụng nhắm mục tiêu cài đặt VMWare ESXi và vCenter.
BleepingComputer cho rằng các bộ mã hóa cho Linux không có gì mới, tương tự hoạt động của các mã độc trước đây như HelloKitty, BlackMatter, Revil, AvosLocker. Giống như các bộ mã hóa Linux khác, LockBits cung cấp giao diện dòng lệnh cho phép bật hoặc tắt các tính năng khác nhau để điều chỉnh cuộc tấn công.
Các tính năng này bao gồm khả năng chỉ định dung lượng tệp và số lượng byte để mã hóa, dừng chạy máy ảo hay xóa sạch dung lượng trống sau đó. Tuy nhiên, điều làm cho LockBit sử dụng trình mã hóa Linux là tiện ích dòng lệnh VMware ESXI và VMware vCenter để kiểm tra xem máy ảo nào đang chạy và tắt chúng một cách “gọn gàng” để chúng không bị lỗi khi được mã hóa.
Danh sách đầy đủ các lệnh được Trend Micro phát hiện trong trình mã hóa của LockBit được liệt kê dưới đây:
Trend Micro công bố AES để mã hóa các tệp và thuật toán mã hóa elliptic (ECC) để mã hóa các khóa giải mã. Với việc sử dụng rộng rãi VMware ESXI trong doanh nghiệp, tất cả các chuyên gia an ninh mạng nên lường trước mọi hoạt động của ransomware đã phát triển biến thể Linux. Bằng cách đưa ra giả định này, quản trị viên và các chuyên gia an ninh mạng được khuyến cáo nên phòng thủ và có kế hoạch bảo vệ hệ thống bên cạnh Windows.
Theo: bleepingcomputer
Chỉnh sửa lần cuối: