В процессе эволюции рынка программ-вымогателей происходит переход от традиционного подхода, предполагающего использование полезных нагрузок для Windows, к использованию других платформ, в первую очередь Linux. При этом операторы ransomware сокращают временной разрыв между выпусками различных полезных нагрузок и добиваются паритета функциональности на разных платформах.
Современные операторы ransomware также все чаще используют сборки и код (иногда утечки) или модифицируют кодовые базы под свои нужды, сохраняя при этом основной код в качестве модели. Исследователи безопасности отмечают, что основными семействами, от которых произошли эти варианты, являются Conti, Babuk, LockBit. Эти варианты способны атаковать как Linux, так и среды VMWare ESXi с целью шифрования виртуальных машин (ВМ), размещенных на серверах ESXi, которые зачастую являются ключевыми для бизнес-операций и сервисов.
Как правило, злоумышленники используют уязвимости в ESXi, слабые учетные данные или другие уязвимости безопасности для получения доступа к виртуальной среде. Возможность эффективно атаковать и шифровать виртуальные машины очень привлекательна для операторов программ-вымогателей. Полностью виртуализированная инфраструктура может быть зашифрована и скомпрометирована за считанные минуты при наличии подходящей и надежной полезной нагрузки.
Indicators of Compromise
SHA1
- 0144800f67ef22f25f710d181954869f1d11d471
- 40ceb71d12954a5e986737831b70ac669e8b439e
- 55f47e767dd5fdd1a54a0b777b00ffb473acd329
- 62e4537a0a56de7d4020829d6463aa0b28843022
- 9180ea8ba0cdfe0a769089977ed8396a68761b40
- a0c9dd3f3e3d0e2cd5d1da06b3aac019cdbc74ef
- f1c0054bc76e8753d4331a881cdf9156dd8b812a