Los investigadores de Trend Micro han detallado el nuevo soporte obtenido por el grupo de ransomware LockBit: Cifrado de máquinas virtuales Linux.
Según ellos, el nuevo cifrador de Linux de LockBit tiene como objetivo cifrar las instalaciones de VMWare ESXi y vCenter, a través de AES. Además, hay un montón de funciones, desde encontrar la naturaleza de la VM hasta limpiarla, proporcionada por el ransomware LockBit a sus afiliados.
Nueva característica de LockBit Ransomware
Después de la caída del ransomware REvil el año pasado, LockBit es una de las pandillas prominentes que se hizo popular. Con las funciones de encriptación rápida, LockBit funciona con el modelo de ransomware como servicio, y obtiene ganancias a través de su malware de encriptación alquilado a piratas informáticos afiliados.
Si bien la mayoría de sus herramientas están dirigidas a máquinas con Windows hasta ahora, los investigadores de Trend Micro ha descubierto un nuevo vector de ataque – cifrado de máquinas virtuales Linux – agregado al arsenal de LockBit. ASegún ellos, el malware del grupo ahora es capaz de comprometer las instalaciones de VMWare ESXi y vCenter.
Esto ha estado anunciando en los foros de piratería de RAMP desde octubre del año pasado, dicen los investigadores. Según ellos, el nuevo soporte permitirá a los afiliados habilitar y deshabilitar funciones de ataque a través de una interfaz de línea de comandos simple, con funciones como
- Identificación de una máquina virtual,
- Iniciar y detener la ejecución de máquinas virtuales,
- Especificar qué tan grande puede ser un archivo,
- Especificar el número de bytes que se pueden cifrar,
- Limpiar el espacio por completo, etc.
Aquí hay una lista de todas las funciones que un afiliado de LockBit puede realizar en un dispositivo de destino;
Descripción |
Obtenga una lista de todas las máquinas virtuales registradas y en ejecución |
Obtener una lista de máquinas virtuales en ejecución |
Apague la máquina virtual de la lista |
Comprobar el estado del almacenamiento de datos |
Suspender máquina virtual |
Habilitar SSH |
Deshabilitar inicio automático |
Determinar el modelo de CPU ESXi |
Los investigadores dijeron que el cifrado de Linux de LockBit utiliza AES para cifrar archivos y los algoritmos de criptografía de curva elíptica (ECC) para cifrar las claves de descifrado. Y han aumentado sus herramientas de ataque, se recomienda a los administradores de sistemas y equipos de seguridad que hagan que sus servidores resistan las vulnerabilidades de Linux provenientes de ransomware de este tipo, y que estén atentos a los ataques.