06.12.2023 | Qilin против VMware ESXi: новая глава в войне за сохранность данных |
Исследователями безопасности был обнаружен новый вид шифровальщика от группы Qilin, нацеленный на серверы VMware ESXi . Этот шифровальщик считается одним из самых продвинутых и настраиваемых инструментов для Linux . Переход компаний к использованию виртуальных машин VMware ESXi, обеспечивающих эффективное распределение ресурсов ЦП, памяти и хранилищ, сделал их очень привлекательной целью для киберпреступников. Почти все группы, занимающиеся вымогательством, уже давно создали специализированные шифровальщики для этого типа устройств. Исследователи из MalwareHunterTeam обнаружили и проанализировали Linux-шифровальщик ELF64 от Qilin. Как оказалась, он ориентирован на шифрование виртуальных машин и удаление их снапшотов (полных снимков текущего состояния машин). Ключевые особенности ELF64, обнаруженные специалистами:
Шифровальщик определяет, запущен ли он на сервере Linux, FreeBSD или VMware ESXi. Если обнаруживается VMware ESXi, используются команды «esxcli» и «esxcfg-advcfg», ранее не встречавшиеся в других шифровальщиках. По завершению шифрования виртуальных машин, создается заметка с требованием выкупа, содержащая ссылки на сайт переговоров группы Qilin в сети Tor , а также уникальные данные для входа на страницу чата. Суммы выкупа, наблюдаемые экспертами безопасности, варьируются от 25 тысяч до нескольких миллионов долларов. Операция Qilin была запущена в августе 2022 года под названием «Agenda», но в сентябре была переименована в Qilin. Группа проникает в сети компаний, крадет данные, распространяется по системам и шифрует устройства в сети. Затем использует украденные данные и зашифрованные файлы в атаках двойного вымогательства для принуждения компаний платить выкуп. |
|
Проверить безопасность сайта
