La version Linux du rançongiciel AvosLocker cible les serveurs VMware ESXi

  • Principal
  • Nouvelles
  • La version Linux du rançongiciel AvosLocker cible les serveurs VMware ESXi

AvosLocker est le dernier gang de rançongiciels qui a ajouté la prise en charge du chiffrement des systèmes Linux à ses récentes variantes de logiciels malveillants, en particulier les machines virtuelles VMware ESXi.

Bien que nous n'ayons pas pu trouver quelles cibles ont été touchées cette variante du rançongiciel AvosLocker Linux , BleepingComputer connaît au moins une victime qui a reçu une note de rançon de 1 million de dollars.

Il y a plusieurs mois, le gang AvosLocker a également annoncé ses dernières variantes de ransomware, Windows Avos2 et AvosLinux, avertissant les affiliés de ne pas attaquer les cibles post-soviétiques/CEI.

Les nouvelles variantes (avos2/avoslinux) ont le meilleur des deux mondes à offrir : hautes performances et beaucoup de cryptage par rapport à leurs concurrents, le groupe Dit-elle .

Machines virtuelles ESXi arrêtées avant le chiffrement

Une fois démarré sur un système Linux, AvosLocker mettra fin à toutes les machines ESXi sur le serveur à l'aide de la commande suivante :

|__+_|

Une fois qu'il commence à s'exécuter sur un système compromis, le ransomware ajoutera l'extension .avoslinux à tous les fichiers cryptés.

Il publie également des notes de rançon demandant aux victimes de ne pas éteindre leurs ordinateurs pour éviter la corruption de fichiers et de visiter un site d'oignon pour plus de détails sur la façon de payer la rançon.

Variante Linux d'AvosLocker

Le chercheur en sécurité MalwareHunterTeam a déclaré à BleepingComputer qu'AvosLocker avait commencé à utiliser le cryptographe Linux à partir de novembre 2021.

Le passage des rançongiciels à Linux

AvosLocker est un nouveau gang qui a fait son apparition au cours de l'été 2021, demandant aux affiliés de ransomwares sur des forums clandestins de rejoindre son opération Ransomware-as-a-Service (RaaS) récemment lancée.

Le passage aux machines virtuelles ESXi ciblées est conforme à leurs destinées d'entreprise, qui ont récemment migré vers des machines virtuelles pour une gestion plus facile des périphériques et une utilisation plus efficace des ressources.

En ciblant les machines virtuelles, les opérateurs de ransomwares profitent du cryptage le plus simple et le plus rapide de plusieurs serveurs avec une seule commande.

Depuis octobre, le rançongiciel Hive a commencé à chiffrer les systèmes Linux et FreeBSD à l'aide de nouvelles variantes de logiciels malveillants, quelques mois seulement après que les chercheurs ont détecté un chiffreur Linux REvil ransomware ciblant les machines virtuelles VMware ESXi.

CTO d'Emsisoft Fabiano Wosar a déclaré à BleepingComputer que d'autres groupes de rançongiciels, dont Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide et Hellokitty, ont également créé et utilisé leurs propres cryptographes Linux.

'La raison pour laquelle la plupart des groupes de ransomwares ont déployé une version basée sur Linux de leur ransomware est de cibler spécifiquement ESXi', a expliqué Wosar.

Les chercheurs en sécurité ont également découvert des variantes Linux des rançongiciels HelloKitty et BlackMatter dans la nature en juillet et août, confirmant davantage la déclaration de Wosar. Des opérations de ransomware Snatch et PureLocker ont également été observées en utilisant des cryptographes Linux dans le passé.

Vous pouvez en savoir plus sur le rançongiciel AvosLocker et sur la marche à suivre si vous êtes concerné par cette famille de rançongiciels dans notre rubrique d'assistance.

Qu'est-ce que tu penses?