A LockBit expande suas operações implementando uma versão Linux do ransomware LockBit que visa servidores VMware ESXi. A mudança visa expandir o público de potenciais alvos, incluindo todas as organizações que estão migrando para ambientes de virtualização.
Ransomware LockBit
As operações da LockBit estão anunciando uma nova versão do Linux que visa máquinas virtuais VMware ESXi desde outubro de 2021. De acordo com a Trend Micro, um anúncio da versão 1.0 do LockBit Linux-ESXi Locker estava anunciando a versão Linux no fórum underground “RAMP” desde outubro.
A Trend Micro analisou o Lockbit Linux-ESXi Locker versão 1.0, que usa uma combinação de algoritmos Advanced Encryption Standard (AES) e criptografia de curva elíptica (ECC) para criptografia de dados.
De acordo com os pesquisadores, essa versão é capaz de coletar as seguintes informações dos sistemas infectados: Informações do processador; Volumes no sistema; Máquinas virtuais (VMs) para pular; Total de arquivos; Total VMs; Arquivos criptografados; VMs criptografadas; Tamanho total criptografado e; Tempo gasto para criptografia.
Comandos suportados pelo criptografador da LockBit
Abaixo está a lista de comandos suportados pelo criptografador da LockBit analisados ??pela Trend Micro, eles permitem determinar o tipo de máquinas virtuais cadastradas no sistema alvo e desligá-las para desbloquear e criptografar seus recursos.
| COMANDO | Descrição |
|---|---|
| VM-SUPPORT –LISTVMS | Obtenha uma lista de todas as VMs registradas e em execução |
| LISTA DE PROCESSOS ESXCLI VM | Obter uma lista de VMs em execução |
| ESXCLI VM PROCESS KILL –TYPE FORCE –WORLD-ID | Desligue a VM da lista |
| LISTA DE SISTEMA DE ARQUIVOS DE ARMAZENAMENTO ESXCLI | Verifique o status do armazenamento de dados |
| /SBIN/VMDUMPER %D SUSPEND_V | Suspender VM |
| VIM-CMD HOSTSVC/ENABLE_SSH | Ativar SSH |
| VIM-CMD HOSTSVC/AUTOSTARTMANAGER/ENABLE_AUTOSTART FALSE | Desativar início automático |
| VIM-CMD HOSTSVC/HOSTSUMMARY GREP CPUMODEL | Determinar o modelo de CPU ESXi |
As operações de ransomware Lockbit são as últimas na ordem de tempo a adicionar o suporte para os criptografadores do Linux. De acordo com o SecurityAffairs, outras gangues já o implementaram no passado são elas: HelloKitty, BlackMatter, REvil, AvosLocker e as operações de ransomware Hive.
Análise do Trend Micro
De acordo com o Trend Micro, o lançamento desta variante está alinhado com a forma como os grupos de ransomware modernos estão mudando seus esforços para direcionar e criptografar hosts Linux, como servidores ESXi.
“Um servidor ESXi normalmente hospeda várias VMs, que por sua vez armazenam dados ou serviços importantes para uma organização. A criptografia bem-sucedida por ransomware de servidores ESXi pode, portanto, ter um grande impacto nas empresas-alvo. Essa tendência foi liderada por famílias de ransomware como REvil e DarkSide”, completa o Trend Micro”
Via: SecurityAffairs
