Revil Ransomware apunta a máquinas virtuales ESXi
El investigador de seguridad “MalwareHunterTeam” encontró una versión para Linux del ransomware Revil que apunta a servidores ESXi, el cual utiliza un cifrador de Linux que apunta y cifra las maquinas virtuales Vmware ESXi.
Vitali Kremez de Advanced Intel, analizó la nueva variante Revil Linux. Kemez especifica que es un ejecutable ELF64 e incluye las mismas opciones de configuración utilizadas por el ejecutable Windows más común.
Cuando la amenaza se ejecuta en un servidor, el actor de amenazas puede especificar la ruta para cifrar y habilitar un modo silencioso. Cuando se ejecuta en servidores ESXI, ejecutará la herramienta de línea de comandos esxcli para enumerar todas las maquinas virtuales ESXI en ejecución.
FUENTES:
https://www.bleepingcomputer.com/news/security/revil-ransomwares-new-linux-encryptor-targets-esxi-virtual-machines/
e este modo el comando es utilizado para cerrar los archivos del disco de la máquina virtual almacenados en la carpeta / vmfs / con el objetivo de que el ransomware pueda cifrar los archivos sin que ESXi los bloquee. Al apuntar a las máquinas virtuales de esta manera, REvil puede cifrar muchos servidores a la vez con un solo comando.
El investigador de seguridad Jaime Blasco ha recopilado hashes de archivos asociados con el cifrador REvil Linux y los ha compartido en Open Threat Exchange de Alienvault
INDICADORES DE COMPROMISO (IOC)
MD5:
• e199f02ffcf1b1769c8aeb580f627267
• ab3229656f73505a3c53f7d2e95efd0e
• 96a157e4c0bef22e0cea1299f88d4745
• 395249d3e6dae1caff6b5b2e1f75bacd
