Nuova variante del Royal Trojan scoperta, prende di mira le macchine virtuali VMware ESXi

Un ricercatore di sicurezza di nome Will Thomas presso l’Equinix Threat Analysis Centre (ETAC) ha scoperto una nuova variante del Royal Trojan che viene eseguita utilizzando una riga di comando.

Così il Royal trojan diventa il più recente trojan che ha aggiunto supporto per la crittografia dei dispositivi Linux alle sue varianti, prendendo di mira in particolare i sistemi virtuali VMware ESXi.

Ci sono stati diversi incidenti di simili crittografi Ransomware spinti dai gruppi AvosLocker, Hive, Black Basta e altri.

Inoltre, supporta più flag, che danno agli operatori di ransomware un certo controllo sul processo di crittografia. Questi sono i seguenti flag.

-stopvm > ferma tutte le VM in esecuzione affinché possano essere crittografate.
-vmony - Crittografa solo le macchine virtuali
-id: l'id deve essere di 32 caratteri.
-fork - sconosciuto
-logs - sconosciuto  

Ora, quando il ransomware crittografa il file, aggiunge l’estensione .royal_u a tutti i file crittografati sulla VM.

Sebbene i meccanismi anti-ransomware abbiano avuto problemi a rilevare il ransomware, ora hanno rilevato 23 dei 63 motori di scansione malware su Virus Total.

Per coloro che non lo sanno, il Royal Ransomware è di proprietà privata di un numero di attori di minaccia esperti che avevano precedentemente operato il ransomware Conti. Il ransomware Royal è stato trovato per la prima volta a gennaio 2022 e a settembre, Royal ha aumentato le sue attività malevole.

All’inizio, gli attori di minaccia utilizzavano crittografi di altre operazioni come BlackCat e poi sono passati a utilizzare i propri, come Zoen, che inviava note di riscatto proprio come quelle inviate dal ransomware Conti.

Leggi: Attaccanti che abusano degli allegati OneNote per diffondere malware RAT

A settembre, gli attaccanti hanno rinominato il ceppo come Royal e poi hanno iniziato a distribuire un nuovo crittografo negli attacchi che inviava note di riscatto con gli stessi nomi esatti.

Dopo di ciò, il gruppo richiede un riscatto dopo aver crittografato i sistemi di rete aziendale del loro obiettivo.

Il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ha anche avvertito contro il ransomware royal che prende di mira il settore sanitario e pubblico.

Questa non è la prima volta che gli attaccanti prendono di mira le macchine virtuali ESXI semplicemente da quando le aziende hanno iniziato a utilizzare le VM poiché hanno migliorato la gestione dei dispositivi e una gestione delle risorse molto più efficiente.

Mentre distribuiscono payload sugli host ESXi, gli attaccanti utilizzano un singolo comando per crittografare più server. Una cosa da notare qui è che i gruppi hanno implementato ransomware basato su Linux che prende di mira ESXi.

Molti server VMware ESXi in tutto il mondo hanno ricevuto il loro ultimo aggiornamento. Ora riceveranno solo supporto tecnico, ma solo aggiornamenti di sicurezza, rendendoli suscettibili ad attacchi di riscatto.

Leggi: Misure rigorose di Netflix sulla condivisione delle password: cosa aspettarsi