martes, 29 de junio de 2021

El grupo de hackers más rico del mundo ahora se enfoca en atacar dispositivos Linux y NAS con un nuevo ransomware

Un reciente reporte señala que los operadores del ransomware REvil ahora están empleando una herramienta de cifrado de Linux para comenzar a atacar máquinas virtuales como VMware ESXi. Este podría ser un momento especialmente prolífico para los actores de amenazas, ya que esta compañía está migrando a implementaciones virtuales para la administración eficiente de copias de seguridad, administración de dispositivos y otras tareas.

Hace unas semanas un reporte de Advanced Intel incluyó una publicación extraída de un foro de REvil en la que los operadores confirmaron el lanzamiento de una versión de su herramienta de cifrado funcional para sistemas Linux y algunas implementaciones de almacenamiento conectado a la red (NAS).

Posteriormente un grupo de investigadores encontró una muestra de REvil para Linux que parecía estar dirigida contra servidores ESXi. Los expertos de Advanced Intel analizaron este malware y concluyeron que este es un ejecutable ELF64 que incluye las mismas opciones de configuración que la versión de REvil para sistemas Windows.

Al parecer esta es la primera vez que se detecta una variante de este malware para sistemas Linux; al ejecutarse, los actores de amenazas pueden especificar una ruta para cifrar archivos en el sistema y habilitar un modo silencioso, menciona el reporte.

Al ejecutarse en servidores ESXi, se ejecutará la herramienta de línea de comandos esxcli con el fin de enumerar todas las máquinas virtuales ESXi en ejecución para su finalización.

El comando empleado por el malware se usa para cerrar los archivos del disco de la máquina virtual (VMDK) almacenados en la carpeta /vmfs/ para que REvil pueda cerrar los archivos sin que ESXi bloquee estos intentos. Si una máquina virtual no se cierra correctamente antes de cifrar su archivo, podría provocar la corrupción de los datos comprometidos.

Finalmente, los reportes mencionan que otros grupos de ransomware como Babuk, RansomExx, DarkSide o HelloKitty podrían estar desarrollando sus propias herramientas de cifrado para sistemas Linux para atacar implementaciones ESXi, ya que la migración a máquinas virtuales es una práctica muy común en la actualidad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo El grupo de hackers más rico del mundo ahora se enfoca en atacar dispositivos Linux y NAS con un nuevo ransomware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

No hay comentarios.:

Publicar un comentario