Haberler

VMware ESXi Altyapılarını Etkileyen Yeni Ransomware Tespit Edildi

VMware ESXi alt yapılarını etkileyen yeni bir ransomware varyantı keşfedildi. The REvil ransomware tarafından kullanılan ransomware Linux tabanlı bir şifreleyeci.

Saldırı tipine bakıldığında son zamanlarda çok görülen ve sanallaştırma alt yapılarında vm’lerin depolanması için kullanılan alanlara saldırıyor. Bu alanları şifrelenerek tüm sanllaştırma alt yapısı ele geçirilmiş oluyor.

Mayıs ayında Advanced Intel’den Yelisey Boguslavskiy  , REvil operasyonundan bir forum gönderisini paylaştı ve burada şifreleyicilerinin NAS cihazlarında da çalışabilecek bir Linux sürümünü yayınladıklarını kanıtladılar.

Yeni REvil Linux varyantını analiz eden Advanced Intel’den  Vitali Kremez, Linux varyantının piyasaya sürülmesinden bu yana ilk kez halka açık hale geldiğini belirtiyor.

Bir sunucuda çalıştırıldığında, aşağıdaki kullanım talimatlarında gösterildiği gibi, şifreleme yolunu belirleyebilir ve sessiz modu etkinleştirebilir.

Usage example: elf.exe --path /vmfs/ --threads 5
 without --path encrypts current dir
--silent (-s) use for not stoping VMs mode
!!!BY DEFAULT THIS SOFTWARE USES 50 THREADS!!!

ESXi sunucularında çalıştırıldığında, çalışan tüm ESXi sanal makinelerini listelemek ve kapatmak için esxcli komutu çalıştırması yeterli oluyor.

esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | awk -F ""*,"*" '{system("esxcli vm process kill --type=force --world-id=" $1)}'

Bu komut, /vmfs/ klasöründe depolanan sanal makine diski (VMDK) dosyalarını kapatmak için kullanılıyor, böylece REvil fidye yazılımı ESXi tarafından kilitlenmeden dosyaları şifreleyebilir.

Bir sanal makine dosyasını şifrelemeden önce doğru şekilde kapatılmazsa, Emsisoft  CTO’su  Fabian Wosar tarafından açıklandığı gibi veri bozulmasına neden olabiliyor. REvil, sanal makineleri bu şekilde hedefleyerek tek bir komutla birçok sunucuyu aynı anda şifreleyebiliyor.

Kaynak: bleepingcomputer.com

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.