Un reciente reporte señala que los operadores del ransomware REvil ahora están empleando una herramienta de cifrado de Linux para comenzar a atacar máquinas virtuales como VMware ESXi. Este podría ser un momento especialmente prolífico para los actores de amenazas, ya que esta compañía está migrando a implementaciones virtuales para la administración eficiente de copias de seguridad, administración de dispositivos y otras tareas.
Hace unas semanas un reporte de Advanced Intel incluyó una publicación extraída de un foro de REvil en la que los operadores confirmaron el lanzamiento de una versión de su herramienta de cifrado funcional para sistemas Linux y algunas implementaciones de almacenamiento conectado a la red (NAS).
Posteriormente un grupo de investigadores encontró una muestra de REvil para Linux que parecía estar dirigida contra servidores ESXi. Los expertos de Advanced Intel analizaron este malware y concluyeron que este es un ejecutable ELF64 que incluye las mismas opciones de configuración que la versión de REvil para sistemas Windows.
Al parecer esta es la primera vez que se detecta una variante de este malware para sistemas Linux; al ejecutarse, los actores de amenazas pueden especificar una ruta para cifrar archivos en el sistema y habilitar un modo silencioso, menciona el reporte.
Al ejecutarse en servidores ESXi, se ejecutará la herramienta de línea de comandos esxcli con el fin de enumerar todas las máquinas virtuales ESXi en ejecución para su finalización.
El comando empleado por el malware se usa para cerrar los archivos del disco de la máquina virtual (VMDK) almacenados en la carpeta /vmfs/ para que REvil pueda cerrar los archivos sin que ESXi bloquee estos intentos. Si una máquina virtual no se cierra correctamente antes de cifrar su archivo, podría provocar la corrupción de los datos comprometidos.
Finalmente, los reportes mencionan que otros grupos de ransomware como Babuk, RansomExx, DarkSide o HelloKitty podrían estar desarrollando sus propias herramientas de cifrado para sistemas Linux para atacar implementaciones ESXi, ya que la migración a máquinas virtuales es una práctica muy común en la actualidad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
