Вымогатели Abyss Locker уничтожат вашу виртуальную инфраструктуру в один клик

По мере того, как предприятия переходят от частных серверов к виртуальным машинам для более эффективного управления ресурсами, производительности и восстановления после сбоев, хакеры всё чаще создают шифровальщики, нацеленные именно на эти платформы.

Поскольку VMware ESXi является одной из самых популярных платформ виртуализации, практически каждая группировка вымогателей начала выпускать шифровальщики для Linux, чтобы охватить большой процент потенциальных жертв. Другие банды вымогателей, использующие Linux-шифровальщики, нацеленные на VMware ESXi, включают: Akira, Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX и Hive.

Abyss Locker — относительно новая группировка вымогателей, которая, предположительно, начала действовать в марте 2023 года. Как и другие подобные группы, данные хакеры проникают в корпоративные сети, крадут данные своих жертв и шифруют их устройства. Украденные данные затем используются для реализации тактики «двойное вымогательство», когда киберпреступники угрожают опубликовать похищенные конфиденциальные файлы, если не будет заплачен выкуп.

Для публикации украденных файлов злоумышленники создали отдельный сайт утечки данных в сетях Tor под названием «Abyss-data», где в настоящее время перечислено уже 14 организаций-жертв.

На этой неделе исследователи безопасности MalwareHunterTeam обнаружили Linux-шифровальщик для операции Abyss Locker и предоставили на анализ специалистам из BleepingComputer.

После изучения кода исполняемого файла, эксперты определили, что шифровальщик создавался специально для атак на серверы VMware ESXi, так как намеренно и целенаправленно завершает работу этих виртуальных машин. Впоследствии вредонос беспрепятственно шифрует виртуальные диски, снимки и метаданные заражённых экземпляров ESXi. Помимо виртуальных машин, вымогатель также шифрует все остальные файлы на устройстве, добавляя к их именам расширение «.crypt».

По окончании шифрования в каждой папке устройства появляется файл с расширением «.README_TO_RESTORE», который выступает в роли записки с требованиями выкупа. Этот файл содержит информацию о том, что произошло с файлами, а также уникальную ссылку на сайт переговоров злоумышленников в Tor.

По словам эксперта по вымогателям Майкла Гиллеспи, Linux-шифровальщик Abyss Locker основан на Hello Kitty, однако использует шифрование вредоноса ChaCha. Некий симбиоз из нескольких программ-вымогателей. До конца неясно, является ли новый шифровальщик простым ребрендингом HelloKitty или другая хакерская группировка просто получила доступ к исходному коду её шифровальщика.