To Abyss Locker είναι το πιο πρόσφατο ransomware για συστήματα Linux, που στοχεύει την πλατφόρμα εικονικών μηχανών VMware ESXi. Καθώς η επιχείρηση μετακινείται από τις μονάδες διακομιστών στις εικονικές μηχανές για καλύτερη διαχείριση πόρων, απόδοση και ανάκτηση από καταστροφικά σενάρια, οι ομάδες που ασχολούνται με ransomware δημιουργούν κρυπτογραφικά προγράμματα που στοχεύουν στην παραβίαση της πλατφόρμας.
Δείτε επίσης: VMware: Διορθώνει bug που εκθέτει admin credentials του CF API στα audit logs
Το VMware ESXi είναι ένας δημοφιλής εικονικός διακομιστής που χρησιμοποιείται για τη διαχείριση και την εκτέλεση εικονικών μηχανών σε επιχειρήσεις. Παρέχει αυξημένη αποδοτικότητα πόρων, ευελιξία και ανάκτηση δεδομένων κατά την αντιμετώπιση καταστροφικών σεναρίων. Ωστόσο, η αυξημένη χρήση του VMware ESXi έχει καταστήσει την πλατφόρμα έναν ελκυστικό στόχο για τις επιθέσεις ransomware, όπως φαίνεται από την περίπτωση του Abyss Locker.
Άλλες λειτουργίες ransomware που χρησιμοποιούν κρυπτογραφητές ransomware σε Linux, με τους περισσότερους να στοχεύουν το VMware ESXi, περιλαμβάνουν τα Akira, Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX και Hive.
Το Abyss Locker είναι ένας σχετικά νέος τύπος ransomware που πιστεύεται ότι ξεκίνησε τον Μάρτιο του 2023 και στοχεύει εταιρείες με επιθέσεις. Όπως και άλλα ransomware, το Abyss Locker αποτελεί απειλή για τα επιχειρηματικά δίκτυα. Οι δράστες του παραβιάζουν δίκτυα, κλέβουν δεδομένα και κρυπτογραφούν συσκευές εντός του δικτύου.
Τα δεδομένα που έχουν κλαπεί χρησιμοποιούνται στη συνέχεια ως μέσο εκβιασμού, με την απειλή να δημοσιευτούν αρχεία αν δεν πληρωθούν λύτρα. Για τη διαρροή κλεμμένων αρχείων, οι κακόβουλοι παράγοντες έχουν δημιουργήσει έναν ιστότοπο διαρροής δεδομένων στο Tor με το όνομα “Abyss-data”. Αυτή τη στιγμή, ο ιστότοπος αυτός έχει εκθέσει δεκατέσσερα θύματα.
Δείτε ακόμα: Το νέο malware τύπου worm P2PInfect στοχεύει Linux και Windows Redis servers
Οι απειλητές υποστηρίζουν ότι έχουν κλέψει 35 GB δεδομένων από μια εταιρεία και ακόμη 700 GB από μια άλλη. Αφού εξετάστηκαν οι συμβολοσειρές στο εκτελέσιμο αρχείο, έγινε εμφανές ότι ο κρυπτογραφητής στοχεύει ειδικά τους διακομιστές VMware ESXi. Κατά τη λήξη της λειτουργίας των εικονικών μηχανών, το Abyss Locker θα εκτελέσει την εντολή ‘vm process kill‘ και θα επιλέξει μία από τις επιλογές για τη διαδικασία αυτή.
Ο κρυπτογραφητής απενεργοποιεί όλες τις εικονικές μηχανές για να επιτρέψει τη σωστή κρυπτογράφηση των συσχετιζόμενων εικονικών δίσκων, των στιγμιοτύπων και των μεταδεδομένων. Κρυπτογραφεί όλα τα αρχεία με τις ακόλουθες επεκτάσεις: .vmdk (εικονικοί δίσκοι), .vmsd (μεταδεδομένα) και .vmsn (στιγμιότυπα).
Εκτός από την επίθεση σε εικονικές μηχανές, το ransomware θα κρυπτογραφήσει επίσης όλα τα υπόλοιπα αρχεία στη συσκευή και θα προσθέσει την επέκταση “.crypt” στα ονόματά τους, όπως φαίνεται παρακάτω.
Δείτε επίσης: Ψεύτικο PoC για μια Linux Kernel ευπάθεια στο GitHub περιέχει malware
Για κάθε αρχείο, ο κρυπτογραφητής θα δημιουργήσει επίσης ένα αρχείο με την επέκταση .README_TO_RESTORE, το οποίο θα λειτουργήσει ως ένα αρχείο σημειώσεων για την αποκατάσταση.
