Abyss Locker — это недавно разработанный Linux-шифровальщик, предназначенный для атак предприятий на платформу виртуальных машин VMware ESXi.
По мере того, как компании переходят с отдельных серверов на виртуальные машины для лучшего управления ресурсами, повышения производительности и аварийного восстановления, банды вымогателей создают шифраторы, ориентированные на эту платформу.
Поскольку VMware ESXi становится одной из самых популярных платформ виртуальных машин, почти каждая банда вымогателей начала выпускать шифраторы Linux для шифрования всех виртуальных серверов на устройстве.
Другие операции с программами-вымогателями, использующие шифровальщики программ-вымогателей Linux (в основном нацеленные на VMware ESXi), включают Akira, Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX и Hive.
Abyss Locker — это относительно новая операция по вымогательству, которая, как считается, была запущена в марте 2023 года, когда она начала атаковать компании.
Как и другие операции с программами-вымогателями, злоумышленники Abyss Locker будут компрометировать корпоративные сети, красть данные для двойного вымогательства и шифровать устройства в сети.
Затем украденные данные используются в качестве рычага, угрожая утечкой файлов, если выкуп не будет уплачен.
Чтобы эксфильтровать украденные файлы, злоумышленники создали сайт утечки данных Tor под названием «Abyss-data», на котором в настоящее время перечислены 14 жертв.
Веб-сайт утечки данных Abyss Locker
Злоумышленники утверждали, что украли 35 ГБ данных у одной компании и до 700 ГБ у другой.
Нацельтесь на сервер VMware ESXi
На этой неделе исследователь безопасности MalwareHunterTeam обнаружил и проанализировал шифровальщик Linux ELF, используемый в операциях Abyss Locker.
После просмотра строк в исполняемом файле становится ясно, что шифровальщик специально нацелен на серверы VMware ESXi.
Как видно из приведенной ниже команды, Encryptor использует инструмент управления VMware ESXi из командной строки «esxcli», чтобы сначала составить список всех доступных виртуальных машин, а затем завершить их работу.
список процессов esxcli vm Убить процесс esxcli vm -t=soft -w=%d Убить процесс esxcli vm -t=hard -w=%d Убить процесс esxcli vm -t=force -w=%d
При завершении работы виртуальной машины Abyss Locker будет использовать команду «vm process Kill» и одну из программных, жестких или принудительных опций.
Мягкий вариант выполняет корректное завершение работы, жесткий вариант немедленно завершает работу виртуальной машины, а принудительный вариант используется в крайнем случае.
Encryptor завершает работу всех виртуальных машин и надлежащим образом шифрует связанные виртуальные диски, моментальные снимки и метаданные, шифруя все файлы со следующими расширениями: .vmdk (виртуальный диск), .vmsd (метаданные) и .vmsn (моментальный снимок).
В дополнение к нацеливанию на виртуальные машины программа-вымогатель также шифрует все другие файлы на устройстве, добавляя к их именам расширение .crypt, как показано ниже.
Зашифрованные файлы и сообщения о выкупе
Для каждого файла шифровальщик также создаст файл с расширением .README_TO_RESTORE, который действует как сообщение о выкупе.
Эта записка о выкупе содержит информацию о том, что случилось с файлом, и уникальную ссылку на сайт переговоров Tor злоумышленника.
Сайт очень прост, и для переговоров с бандами вымогателей доступна только панель чата.
Записка о выкупе Abyss Locker
Эксперты по вымогательству говорят, что шифровальщик Abyss Locker Linux основан на Hello Kitty и вместо этого использует шифрование ChaCha.
Однако неясно, был ли это ребрендинг операции HelloKitty, или другая операция вымогателя получила доступ к исходному коду шифровальщика, как мы видели в Vice Society.
К сожалению, HelloKitty исторически была безопасной программой-вымогателем, которая не восстанавливает файлы бесплатно.