Nueva variante del Royal Trojan descubierta, apunta a máquinas virtuales VMware ESXi

Un investigador de seguridad llamado Will Thomas en el Centro de Análisis de Amenazas de Equinix (ETAC) descubrió una nueva variante del Royal Trojan que se ejecuta utilizando una línea de comandos.

Así, el Royal trojan se convierte en el último troyano que ha añadido soporte para cifrar dispositivos Linux a sus variantes, apuntando especialmente a sistemas virtuales VMware ESXi.

Ha habido varios incidentes de ransomware similares impulsados por los grupos AvosLocker, Hive, Black Basta y más.

Además, admite múltiples flags, lo que le da a los operadores de ransomware cierto control sobre el proceso de cifrado. Estos son los siguientes flags.

-stopvm > detener todas las VMs en ejecución para que puedan ser cifradas.
-vmony - Solo cifrar máquinas virtuales
-id: el id debe tener 32 caracteres.
-fork - desconocido
-logs - desconocido  

Ahora, cuando el ransomware cifra el archivo, añade la extensión .royal_u a todos los archivos cifrados en la VM.

Aunque los mecanismos anti-ransomware han tenido problemas para detectar el ransomware, ahora han detectado 23 de los 63 motores de escaneo de malware en Virus Total.

Para aquellos que no lo saben, el Royal Ransomware es de propiedad privada de varios actores de amenazas experimentados que anteriormente operaban el ransomware Conti. El ransomware Royal fue encontrado por primera vez en enero de 2022, y en septiembre, Royal aumentó sus actividades maliciosas.

Al principio, los actores de amenazas usaron cifradores de otras operaciones como BlackCat y luego cambiaron a usar los suyos, como Zoen, que enviaba notas de rescate al igual que las enviadas por el ransomware Conti.

Leer: Atacantes abusando de los archivos adjuntos de OneNote para propagar malware RAT

En septiembre, los atacantes de amenazas rebrandearon la cepa como Royal y luego comenzaron a desplegar un nuevo cifrador en ataques que enviaban notas de rescate con los mismos nombres exactos.

Después de eso, el grupo exige un rescate después de cifrar los sistemas de red empresarial de su objetivo.

El Departamento de Salud y Servicios Humanos de EE. UU. también advirtió sobre el ransomware royal que apunta a los sectores de salud y público.

Esta no es la primera vez que los atacantes de amenazas apuntan a máquinas virtuales ESXI simplemente desde que las empresas comenzaron a usar las VMs a medida que mejoraron su gestión de dispositivos y un manejo de recursos mucho más eficiente.

A medida que despliegan la carga útil en los hosts de ESXi, los atacantes de amenazas utilizan un solo comando para cifrar múltiples servidores. Una cosa a tener en cuenta aquí es que los grupos implementaron ransomware basado en Linux que apunta a ESXi.

Muchos servidores VMware ESXi en toda Internet recibieron su último aviso. Solo recibirán soporte técnico ahora, pero solo recibirán actualizaciones de seguridad, lo que los hace susceptibles a ataques de rescate.

Leer: Medidas estrictas de Netflix sobre el uso compartido de contraseñas: qué esperar