Nouvelle variante du Royal Trojan découverte, cible les machines virtuelles VMware ESXi

Un chercheur en sécurité nommé Will Thomas au Centre d’Analyse des Menaces d’Equinix (ETAC) a découvert une nouvelle variante du Royal Trojan qui s’exécute via une ligne de commande.

Ainsi, le Royal Trojan devient le dernier Trojan à avoir ajouté le support pour le chiffrement des dispositifs Linux à ses variantes, ciblant particulièrement les systèmes virtuels VMware ESXi.

Il y a eu plusieurs incidents de ransomware similaires poussés par les groupes AvosLocker, Hive, Black Basta et d’autres.

De plus, il prend en charge plusieurs drapeaux, ce qui donne aux opérateurs de ransomware un certain contrôle sur le processus de chiffrement. Voici les drapeaux suivants.

-stopvm > arrêter toutes les VM en cours d'exécution afin qu'elles puissent être chiffrées.
-vmony - Chiffrer uniquement les machines virtuelles
-id: l'id doit comporter 32 caractères.
-fork - inconnu
-logs - inconnu  

Maintenant, lorsque le ransomware chiffre le fichier, il ajoute l’extension .royal_u à tous les fichiers chiffrés sur la VM.

Bien que les mécanismes anti-ransomware aient eu des problèmes pour détecter le ransomware, ils ont maintenant détecté 23 des 63 moteurs de scan de malware sur Virus Total.

Pour ceux qui ne le savent pas, le Royal Ransomware est détenu en privé par un certain nombre d’acteurs de menace expérimentés qui avaient précédemment opéré le ransomware Conti. Le ransomware Royal a été découvert pour la première fois en janvier 2022, et en septembre, Royal a augmenté ses activités malveillantes.

Au début, les acteurs de menace utilisaient des encryptors d’autres opérations comme BlackCat, puis ont changé pour utiliser les leurs, comme Zoen, qui envoyaient des notes de rançon tout comme celles envoyées par le ransomware Conti.

Lire: Les attaquants abusent des pièces jointes OneNote pour propager des malwares RAT

En septembre, les attaquants ont rebrandé la souche en tant que Royal et ont ensuite commencé à déployer un nouvel encryptor dans des attaques qui envoyaient des notes de rançon avec les mêmes noms exacts.

Après cela, le groupe exige une rançon après avoir chiffré les systèmes réseau d’entreprise de leur cible.

Le Département de la Santé et des Services Humains des États-Unis a également averti contre le ransomware royal ciblant le secteur de la santé et le secteur public.

Ce n’est pas la première fois que les attaquants ciblent les machines virtuelles ESXI simplement depuis que les entreprises ont commencé à utiliser les VM car elles ont amélioré leur gestion des dispositifs et un traitement des ressources beaucoup plus efficace.

Alors qu’ils déploient des charges utiles sur les hôtes ESXi, les attaquants utilisent une seule commande pour chiffrer plusieurs serveurs. Une chose à noter ici est que les groupes ont mis en œuvre un ransomware basé sur Linux qui cible ESXi.

De nombreux serveurs VMware ESXi à travers Internet ont atteint leur dernière limite. Ils ne recevront maintenant que du support technique, mais uniquement des mises à jour de sécurité, les rendant susceptibles aux attaques de rançon.

Lire: Mesures strictes de Netflix sur le partage de mots de passe : à quoi s’attendre