logo

Somos una empresa de servicios de seguridad de la información con especialistas en tecnologías McAfee. Más de 16 años de experiencia en el mercado en clientes de diferentes tamaños y tipos (Banca, Industria, Finanzas, Educación, Gobierno, Salud, Minería, Retail, Telcos y Data Centers). Nuestros enfoques están directamente relacionados a optimizar la seguridad dependiendo de las necesidades de los clientes poniendo énfasis en el ahorro de costos y el cumplimiento normativo (SOX, PCI, HIPAA, OWASP, COBIT, ISO27002, entre otras). contacto@nastec.l
+56 9 9479 5826

Revil Ransomware apunta a máquinas virtuales ESXi

NASTEC > Sin categoría  > Revil Ransomware apunta a máquinas virtuales ESXi

Revil Ransomware apunta a máquinas virtuales ESXi

El investigador de seguridad “MalwareHunterTeam” encontró una versión para Linux del ransomware Revil que apunta a servidores ESXi, el cual utiliza un cifrador de Linux que apunta y cifra las maquinas virtuales Vmware ESXi.
Vitali Kremez de Advanced Intel, analizó la nueva variante Revil Linux. Kemez especifica que es un ejecutable ELF64 e incluye las mismas opciones de configuración utilizadas por el ejecutable Windows más común.
Cuando la amenaza se ejecuta en un servidor, el actor de amenazas puede especificar la ruta para cifrar y habilitar un modo silencioso. Cuando se ejecuta en servidores ESXI, ejecutará la herramienta de línea de comandos esxcli para enumerar todas las maquinas virtuales ESXI en ejecución.
FUENTES:
https://www.bleepingcomputer.com/news/security/revil-ransomwares-new-linux-encryptor-targets-esxi-virtual-machines/

e este modo el comando es utilizado para cerrar los archivos del disco de la máquina virtual almacenados en la carpeta / vmfs / con el objetivo de que el ransomware pueda cifrar los archivos sin que ESXi los bloquee. Al apuntar a las máquinas virtuales de esta manera, REvil puede cifrar muchos servidores a la vez con un solo comando.
El investigador de seguridad Jaime Blasco ha recopilado hashes de archivos asociados con el cifrador REvil Linux y los ha compartido en Open Threat Exchange de Alienvault
INDICADORES DE COMPROMISO (IOC)
MD5:

• e199f02ffcf1b1769c8aeb580f627267
• ab3229656f73505a3c53f7d2e95efd0e
• 96a157e4c0bef22e0cea1299f88d4745
• 395249d3e6dae1caff6b5b2e1f75bacd

mpino
No Comments

Post a Comment