Linux-версия программы-вымогателя AvosLocker нацелена на серверы VMware ESXi

Последнее обновление 05.01.2023

AvosLocker — это новейшая группа программ-вымогателей, которая добавила поддержку шифрования систем Linux к своим последним вариантам вредоносных программ, специально нацеленных на виртуальные машины VMware ESXi.

Хотя мы не смогли найти, какие цели были атакованы с помощью этого варианта Linux-вымогателя AvosLocker, сайт знает по крайней мере об одной жертве, которая получила требование выкупа в размере 1 миллиона долларов.

Несколько месяцев назад банда AvosLocker также была замечена в рекламе своих последних вариантов программ-вымогателей, Windows Avos2 и AvosLinux, одновременно предупреждая своих партнеров не атаковать цели на постсоветском пространстве/СНГ.

«Новые варианты (avos2 / avoslinux) предлагают лучшее из обоих миров: высокую производительность и высокий уровень шифрования по сравнению с конкурентами», — заявили в компании.

Виртуальные машины ESXi остановлены до шифрования

После запуска в системе Linux AvosLocker отключит все машины ESXi на сервере с помощью следующей команды:

esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'

Как только программа-вымогатель начнет работать на скомпрометированной системе, она добавит расширение .avoslinux ко всем зашифрованным файлам.

Он также сбрасывает заметки о выкупе, в которых просит жертв не выключать свои компьютеры, чтобы избежать повреждения файлов, и посетить onion-сайт для получения более подробной информации о том, как заплатить выкуп.

Исследователь безопасности MalwareHunterTeam сообщил BleepingComputer, что AvosLocker начал использовать шифровальщик Linux с ноября 2021 года.

Программы-вымогатели переходят на Linux

AvosLocker — это новая банда, впервые появившаяся летом 2021 года и призывающая партнеров-вымогателей на подпольных форумах присоединиться к их недавно запущенной операции Ransomware-as-a-Service (RaaS).

Переход на целевые виртуальные машины ESXi согласуется с их корпоративными целями, которые недавно перешли на виртуальные машины для упрощения управления устройствами и более эффективного использования ресурсов.

Нацелившись на виртуальные машины, операторы программ-вымогателей также используют более простое и быстрое шифрование нескольких серверов с помощью одной команды.

С октября программа-вымогатель Hive начала шифровать системы Linux и FreeBSD, используя новые варианты вредоносных программ, через несколько месяцев после того, как исследователи обнаружили Linux-шифровальщик REvil, нацеленный на виртуальные машины VMware ESXi.

Технический директор Emsisoft Фабиан Восар сообщил BleepingComputer, что другие банды вымогателей, включая Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide и Hellokitty, также создали и использовали свои собственные шифраторы для Linux.

«Причина, по которой большинство групп вымогателей внедрили версии своих программ-вымогателей на базе Linux, заключается в том, что они нацелены именно на ESXi», — пояснил Восар.

Варианты программ-вымогателей HelloKitty и BlackMatter для Linux также были обнаружены исследователями безопасности в дикой природе в июле и августе , что еще раз подтверждает заявление Восара. Операции программ-вымогателей Snatch и PureLocker также наблюдались с использованием шифровальщиков Linux в прошлом.

Вы можете найти больше информации о программе-вымогателе AvosLocker и о том, что делать, если вы пострадали от этого семейства программ-вымогателей, в нашей теме поддержки.