Primeiro ransomware LockBit para Linux é analisado por especialistas

Nebulon cria proteção contra ransomware Linux bare-metal no bootloader
Nebulon cria proteção contra ransomware Linux bare-metal no bootloader

A LockBit expande suas operações implementando uma versão Linux do ransomware LockBit que visa servidores VMware ESXi. A mudança visa expandir o público de potenciais alvos, incluindo todas as organizações que estão migrando para ambientes de virtualização.

Ransomware LockBit

As operações da LockBit estão anunciando uma nova versão do Linux que visa máquinas virtuais VMware ESXi desde outubro de 2021. De acordo com a Trend Micro, um anúncio da versão 1.0 do LockBit Linux-ESXi Locker estava anunciando a versão Linux no fórum underground “RAMP” desde outubro.

primeiro-ransomware-lockbit-para-linux-e-analisado-por-especialistas

A Trend Micro analisou o Lockbit Linux-ESXi Locker versão 1.0, que usa uma combinação de algoritmos Advanced Encryption Standard (AES) e criptografia de curva elíptica (ECC) para criptografia de dados.

De acordo com os pesquisadores, essa versão é capaz de coletar as seguintes informações dos sistemas infectados: Informações do processador; Volumes no sistema; Máquinas virtuais (VMs) para pular; Total de arquivos; Total VMs; Arquivos criptografados; VMs criptografadas; Tamanho total criptografado e; Tempo gasto para criptografia.

Comandos suportados pelo criptografador da LockBit

Abaixo está a lista de comandos suportados pelo criptografador da LockBit analisados ??pela Trend Micro, eles permitem determinar o tipo de máquinas virtuais cadastradas no sistema alvo e desligá-las para desbloquear e criptografar seus recursos.

COMANDODescrição
VM-SUPPORT –LISTVMS Obtenha uma lista de todas as VMs registradas e em execução
LISTA DE PROCESSOS ESXCLI VM Obter uma lista de VMs em execução 
ESXCLI VM PROCESS KILL –TYPE FORCE –WORLD-ID Desligue a VM da lista 
LISTA DE SISTEMA DE ARQUIVOS DE ARMAZENAMENTO ESXCLI Verifique o status do armazenamento de dados 
/SBIN/VMDUMPER %D SUSPEND_V Suspender VM 
VIM-CMD HOSTSVC/ENABLE_SSH Ativar SSH 
VIM-CMD HOSTSVC/AUTOSTARTMANAGER/ENABLE_AUTOSTART FALSE Desativar início automático 
VIM-CMD HOSTSVC/HOSTSUMMARY GREP CPUMODEL Determinar o modelo de CPU ESXi

As operações de ransomware Lockbit são as últimas na ordem de tempo a adicionar o suporte para os criptografadores do Linux. De acordo com o SecurityAffairs, outras gangues já o implementaram no passado são elas: HelloKitty, BlackMatter, REvil, AvosLocker e as operações de ransomware Hive.

Análise do Trend Micro

De acordo com o Trend Micro, o lançamento desta variante está alinhado com a forma como  os grupos de ransomware modernos estão mudando seus esforços para direcionar e criptografar hosts Linux, como servidores ESXi.

“Um servidor ESXi normalmente hospeda várias VMs, que por sua vez armazenam dados ou serviços importantes para uma organização. A criptografia bem-sucedida por ransomware de servidores ESXi pode, portanto, ter um grande impacto nas empresas-alvo. Essa tendência foi liderada por famílias de ransomware como REvil e DarkSide”, completa o Trend Micro”

Via: SecurityAffairs