0
0
A gangue de ransomware Abyss Locker agora é uma ameaça para sistemas de controle industrial (ICS), empresas e organizações do setor público, graças a um criptografador Linux personalizado destinado a ambientes virtualizados ESXi da VMware.
De acordo com os pesquisadores da KELA (PDF), o Abyss Locker foi lançado em março como parte de uma jogada de ransomware de dupla extorsão, na qual os dados são criptografados e exfiltrados para possível vazamento se a vítima não pagar. A versão 2, detectada pela primeira vez pelo pesquisador de segurança MalwareHunterTeam este mês, agora contém uma variante do criptografador Linux ELF que parece ser especificamente voltada para máquinas virtuais (VMs) ESXi. Até agora, de acordo com a análise, o grupo fez 14 vítimas.
O pivô do Abyss Locker faz parte de uma tendência maior. O uso generalizado da plataforma ESXi e o fato de o hipervisor que gerencia as VMs não oferecer suporte a nenhum recurso de detecção de malware de terceiros tornou a tecnologia um alvo cada vez mais atraente para os operadores de ransomware.
Vários coletivos de ransomware, incluindo new kid on the block Akira , Black Basta, Cl0p , HelloKitty, IceFire, Hive, LockBit, MichaelKors , Royal , REvil e outros fizeram a mudança para o Linux e bloquearam as máquinas ESXi. Alimentando a tendência está o lançamento do código-fonte Babuk com foco em VMware , que em meados de maio gerou pelo menos 10 variantes de ransomware prontas para EXSi, de acordo com um relatório do SentinelOne na época.
O caçador de ransomware Michael Gillespie disse ao BleepingComputer que o criptografador Linux do Abyss Locker parece ser baseado no ransomware HelloKitty mais antigo, que estava por trás de uma série de ataques de alto perfil, como o ataque a jogos Cyberpunk 2077 há mais de dois anos.
FONTE: DARKREADING