Neue Royal-Trojaner-Variante Entdeckt, Zielt Auf VMware ESXi Virtuelle Maschinen Ab

Ein Sicherheitsforscher namens Will Thomas vom Equinix Threat Analysis Centre (ETAC) entdeckte eine neue Variante des Royal-Trojaners, die über eine Befehlszeile ausgeführt wird.

Somit wird der Royal-Trojaner zum neuesten Trojaner, der Unterstützung für die Verschlüsselung von Linux-Geräten zu seinen Varianten hinzugefügt hat, insbesondere mit dem Ziel, VMware ESXi virtuelle Systeme anzugreifen.

Es gab mehrere Vorfälle ähnlicher Ransomware-Verschlüsseler, die von den Gruppen AvosLocker, Hive, Black Basta und mehr verbreitet wurden.

Außerdem unterstützt er mehrere Flags, die den Ransomware-Betreibern eine gewisse Kontrolle über den Verschlüsselungsprozess geben. Dies sind die folgenden Flags.

-stopvm > stoppt alle laufenden VMs, damit sie verschlüsselt werden können.
-vmony - Nur virtuelle Maschinen verschlüsseln
-id: id muss 32 Zeichen lang sein.
-fork - unbekannt
-logs - unbekannt  

Jetzt, wenn die Ransomware die Datei verschlüsselt, fügt sie die .royal_u-Erweiterung zu allen verschlüsselten Dateien auf der VM hinzu.

Obwohl die Anti-Ransomware-Mechanismen Probleme hatten, die Ransomware zu erkennen, haben sie jetzt 23 der 63 Malware-Scanning-Engines auf Virus Total erkannt.

Für diejenigen, die es nicht wissen, Royal Ransomware ist im Privatbesitz einer Reihe erfahrener Bedrohungsakteure, die zuvor Conti-Ransomware betrieben haben. Royal Ransomware wurde erstmals im Januar 2022 gefunden, und im September erhöhte Royal seine bösartigen Aktivitäten.

Zunächst verwendeten die Bedrohungsakteure Verschlüsseler aus anderen Operationen wie BlackCat und wechselten dann zu ihren eigenen, wie Zoen, die Lösegeldnotizen verschickten, genau wie die von Conti-Ransomware.

Lesen: Angreifer missbrauchen OneNote-Anhänge, um RAT-Malware zu verbreiten

Im September rebrandeten die Bedrohungsangreifer den Stamm als Royal und begannen dann, einen neuen Verschlüsseler in Angriffen einzusetzen, die Lösegeldnotizen mit genau denselben Namen verschickten.

Danach fordert die Gruppe ein Lösegeld, nachdem sie die Unternehmensnetzwerksysteme ihres Ziels verschlüsselt hat.

Das US-Gesundheitsministerium warnte ebenfalls vor Royal-Ransomware, die den Gesundheits- und öffentlichen Sektor angreift.

Dies ist nicht das erste Mal, dass die Bedrohungsakteure ESXi virtuelle Maschinen angreifen, seit die Unternehmen begannen, die VMs zu nutzen, da sie ihr Gerätemanagement verbessert und eine viel effizientere Ressourcenverwaltung erreicht haben.

Während sie Payloads auf ESXi-Hosts bereitstellen, verwenden die Bedrohungsakteure einen einzigen Befehl, um mehrere Server zu verschlüsseln. Eine Sache, die hier zu beachten ist, ist, dass die Gruppen Ransomware auf Basis von Linux implementiert haben, die ESXi angreift.

Viele VMware ESXi-Server im Internet haben ihren letzten Bit erhalten. Sie werden jetzt nur noch technischen Support erhalten, aber nur Sicherheitsupdates erhalten, was sie anfällig für Lösegeldangriffe macht.

Lesen: Netflix’ strenge Maßnahmen gegen Passwortteilung: Was zu erwarten ist