Qilin ransomware, c’è una variante Linux che mira alle macchine VMware ESXi: i dettagli
2023-12-4 22:46:39 Author: www.cybersecurity360.it(查看原文) 阅读量:2 收藏

L'ANALISI TECNICA

Il ransomware Qilin, specializzato nella crittografia delle macchine virtuali, si distingue ora per la sua configurazione incorporata e una vasta gamma di opzioni da riga di comando, in questa nuova versione del malware dedicata a sistemi GNU/Linux. Ecco tutto quello che c’è da sapere

Pubblicato il 04 Dic 2023

Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Recentemente, è emerso un campione di crittografo per VMware ESXi utilizzato dalla cyber gang del ransomware Qilin, rivelando un livello di sofisticazione senza precedenti.

VMware ancora sotto minaccia: allerta per il ransomware Qilin

L’adozione diffusa di macchine virtuali nelle aziende per ospitare i propri server ha portato al proliferare di crittografi VMware ESXi dedicati e progettati appositamente per colpire tali server. Qilin, una banda di ransomware ben nota, si distingue creando i propri crittografi Linux, con un recente focus sulle macchine virtuali.

Digital Services Act: una panoramica sulle regole che portano i valori europei nel mondo digitale

Il ricercatore di sicurezza MalwareHunterTeam ha recentemente scoperto un software di crittografia Linux ELF64 creato da Qilin, concentrandosi sulla crittografia delle macchine virtuali e sulla rimozione delle loro istantanee. Questo crittografo è dotato di una configurazione incorporata che specifica estensioni di file crittografate, processi da terminare e cartelle da crittografare o escludere.

Ciò che distingue il crittografo di Qilin è la sua estrema personalizzazione attraverso numerosi argomenti della riga di comando. Questi consentono di regolare le opzioni di configurazione, eseguire una modalità di debug, eseguire prove senza crittografare file e personalizzare il processo di crittografia delle macchine virtuali e dei relativi snapshot.

È anche possibile creare un elenco di macchine virtuali escluse dalla crittografia.

Durante l’esecuzione, l’attore della minaccia deve specificare la directory iniziale e una password legata al crittografo. Il ransomware determinerà quindi se è in esecuzione su un server Linux, FreeBSD o VMware ESXi. Nel caso di VMware ESXi, eseguirà comandi esxcli ed esxcfg-advcfg, rivelando un livello di complessità non visto in precedenza.

Melissa Palmer, esperta di VMware, ha suggerito che questi comandi potrebbero essere stati copiati dai bollettini di supporto di VMware per risolvere un noto bug di esaurimento dell’heap di memoria VMware, indicando un approccio avanzato nella progettazione del malware.

Una minaccia crescente

L’operazione ransomware Qilin, inizialmente lanciata come “Agenda” nell’agosto 2022 e rinominata poi a settembre, continua a rappresentare una minaccia attiva. Operando con una strategia di doppia estorsione, Qilin ruba dati e crittografa file, utilizzando queste informazioni come leva per costringere le aziende a pagare un riscatto.

Con un aumento dell’attività registrato verso la fine del 2023, la comunità della sicurezza informatica è ora in allerta massima, cercando di sviluppare contromisure per proteggere le aziende da questa crescente minaccia di ransomware sofisticato.

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/nuove-minacce/ransomware/qilin-ransomware-ce-una-variante-linux-che-mira-alle-macchine-vmware-esxi-i-dettagli/
如有侵权请联系:admin#unsafe.sh