Обнаружен новый вариант Royal Trojan, нацеленный на виртуальные машины VMware ESXi

Исследователь безопасности по имени Уилл Томас из Центра анализа угроз Equinix (ETAC) обнаружил новый вариант Royal Trojan, который выполняется с помощью командной строки.

Таким образом, Royal Trojan становится последним трояном, который добавил поддержку шифрования устройств Linux к своим вариантам, особенно нацеливаясь на виртуальные системы VMware ESXi.

Было несколько инцидентов с аналогичными шифровщиками-вымогателями, выпущенными группами AvosLocker, Hive, Black Basta и другими.

Кроме того, он поддерживает несколько флагов, которые дают операторам-вымогателям некоторый контроль над процессом шифрования. Это следующие флаги.

-stopvm > остановить все работающие ВМ, чтобы их можно было зашифровать.
-vmony - шифровать только виртуальные машины
-id: id должен состоять из 32 символов.
-fork - неизвестно
-logs - неизвестно

Теперь, когда вымогатель шифрует файл, он добавляет расширение .royal_u ко всем зашифрованным файлам на ВМ.

Хотя механизмы противодействия вымогателям имели проблемы с обнаружением вымогателя, но теперь обнаружили 23 из 63 движков сканирования вредоносных программ на Virus Total.

Для тех, кто не знает, Royal Ransomware принадлежит группе опытных злоумышленников, которые ранее управляли вымогателем Conti. Royal ransomware был впервые обнаружен в январе 2022 года, а в сентябре Royal увеличил свою злонамеренную активность.

Сначала злоумышленники использовали шифровщики из других операций, таких как BlackCat, а затем перешли на использование своих собственных, таких как Zoen, который отправлял записки с требованиями, аналогичные тем, что отправлял вымогатель Conti.

Читать: Злоумышленники злоупотребляют вложениями OneNote для распространения RAT-вредоносного ПО

В сентябре злоумышленники переименовали штамм в Royal и начали развертывание нового шифровщика в атаках, которые отправляли записки с требованиями с точно такими же именами.

После этого группа требует выкуп после шифрования систем корпоративной сети своей цели.

Министерство здравоохранения и социальных служб США также предупредило о вымогателе Royal, нацеливающемся на здравоохранение и государственный сектор.

Это не первый случай, когда злоумышленники нацеливаются на виртуальные машины ESXI, поскольку компании начали использовать ВМ для улучшения управления устройствами и более эффективного управления ресурсами.

При развертывании полезной нагрузки на хостах ESXi злоумышленники используют одну команду для шифрования нескольких серверов. Одно, что стоит отметить, это то, что группы внедрили вымогатель на основе Linux, который нацеливается на ESXi.

Многие серверы VMware ESXi по всему интернету получили свой последний штрих. Теперь они будут получать только техническую поддержку, но только обновления безопасности, что делает их уязвимыми для атак с вымогательством.

Читать: Строгие меры Netflix по обмену паролями: чего ожидать