REvil атакует виртуальные машины: злоумышленники выпустили Linux-шифровальщик для VMware ESXi

Киберпреступная группировка REvil, известная своими масштабными атаками с использованием программ-вымогателей (ransomware), продолжает эволюционировать. Как подтвердили представители группировки на своем форуме, теперь в их арсенале появилась Linux-версия шифровальщика, специально разработанная для атак на виртуальные машины, работающие под управлением гипервизора VMware ESXi.

Описание

Эта разработка также потенциально может использоваться для атак на сетевые системы хранения данных (NAS). Данный шаг отражает общую тревожную тенденцию: преступные группы активно адаптируют свои инструменты под современные корпоративные ИТ-инфраструктуры, которые всё чаще полагаются на виртуализацию.

Переход компаний на виртуальные машины стал стандартной практикой из-за очевидных преимуществ. Виртуализация упрощает управление устройствами, позволяет эффективнее использовать ресурсы и настраивать удобные схемы резервного копирования. Однако эта же централизация создает привлекательную цель для злоумышленников. Вместо того чтобы атаковать сотни отдельных физических серверов, киберпреступники могут теперь сосредоточить усилия на гипервизоре, получив контроль над всем виртуальным парком. Эксперты отмечают, что подобные атаки приводят к катастрофическим последствиям, парализуя работу целых организаций.

Новый Linux-шифровальщик от REvil предназначен для того, чтобы массово шифровать дисковое пространство, используемое виртуальными машинами на платформе ESXi. Это прямое следствие миграции бизнеса в виртуальную среду. Преступные группы осознали высокую рентабельность таких атак и целенаправленно инвестируют в создание специализированных инструментов. Фактически, атака на гипервизор позволяет одним ударом вывести из строя десятки критически важных сервисов, что увеличивает давление на жертву и повышает вероятность выплаты выкупа.

Потенциальное воздействие подобной атаки крайне серьезно и соответствует классическим тактикам, описанным в матрице MITRE ATT&CK. Во-первых, атака почти наверняка начинается с кражи учетных данных (Credential Theft), что позволяет злоумышленникам получить привилегированный доступ к системе управления виртуальной инфраструктурой. Затем следует этап шифрования файлов (File Encryption), в ходе которого вредоносная нагрузка (payload) делает данные на виртуальных машинах недоступными. Параллельно может происходить раскрытие конфиденциальной информации (Information Disclosure), когда преступники извлекают и выгружают корпоративные данные перед их шифрованием. В конечном итоге это приводит к полноценному инциденту утечки данных (Data Breach), когда конфиденциальная информация публикуется на даркнете, если жертва отказывается платить.

Особую озабоченность у специалистов по безопасности вызывает факт, что группировка активно рекламирует и развивает этот инструмент. Подтверждение на собственном форуме указывает на зрелую бизнес-модель и стремление к постоянной технической доработке. Возможность работы шифровальщика не только с ESXi, но и с NAS-устройствами расширяет поверхность атаки, делая уязвимыми системы хранения данных на базе Linux. Это требует от компаний комплексного пересмотра стратегии защиты.

Защита виртуальной инфраструктуры требует многоуровневого подхода. Специалисты рекомендуют, во-первых, строго следовать принципу наименьших привилеций для всех учетных записей, имеющих доступ к vCenter или ESXi. Во-вторых, критически важно обеспечить физическую и логическую изоляцию систем управления виртуализацией от общей корпоративной сети. Не менее важным является регулярное, частое и изолированное резервное копирование данных виртуальных машин, причем копии должны храниться в недоступном для перезаписи виде. Также необходимо применять специализированные средства защиты рабочих нагрузок (IDS/IPS) и вести постоянный мониторинг событий безопасности в рамках центра управления безопасностью (SOC).

Появление Linux-шифровальщика от REvil - это четкий сигнал для ИТ-отделов и служб информационной безопасности по всему миру. Угроза для виртуальных сред перестала быть теоретической и оформилась в конкретные, доступные преступникам инструменты. Атаки на гипервизоры могут привести к беспрецедентным простоям и финансовым потерям. Следовательно, безопасность платформ виртуализации должна перейти из разряда второстепенных задач в категорию наивысшего приоритета при построении корпоративной защиты. Игнорирование этой тенденции может обернуться для компаний полной остановкой бизнес-процессов и многомиллионным ущербом.