Ένα δείγμα του κρυπτογράφου VMware ESXi της ομάδας Qilin ransomware που έχει ανακαλυφθεί πρόσφατα, μπορεί να είναι ένας από τους πιο προηγμένους και εξατομικευμένους κρυπτογράφους Linux που έχουν υπάρξει μέχρι σήμερα.
Δείτε επίσης: Πάνω από 40 χώρες θα υπογράψουν για να σταματήσουν να πληρώνουν λύτρα σε ransomware συμμορίες
Οι επιχειρήσεις μεταβαίνουν όλο και περισσότερο σε εικονικές μηχανές για να φιλοξενήσουν τους διακομιστές τους, καθώς αυτές επιτρέπουν καλύτερη χρήση των διαθέσιμων πόρων CPU, μνήμης και αποθήκευσης.
Λόγω αυτής της υιοθέτησης, σχεδόν όλες οι συμμορίες ransomware έχουν δημιουργήσει αφιερωμένους κρυπτογραφητές VMware ESXi για να επιτεθούν σε αυτούς τους διακομιστές.
Πολλές επιχειρήσεις ransomware χρησιμοποιούν κώδικα του Babuk που έχει διαρρεύσει, για να δημιουργήσουν τους κρυπτογράφους τους, ενώ μερικές, όπως η Qilin, δημιουργούν τους δικούς τους κρυπτογράφους για να επιτεθούν σε διακομιστές Linux.
Τον περασμένο μήνα, η εταιρεία ασφαλείας MalwareHunterTeam ανακάλυψε έναν κρυπτογράφο Linux ELF64 της ομάδας Qilin ransomware και το μοιράστηκε με το BleepingComputer για ανάλυση.
Αν και ο κρυπτογράφος μπορεί να χρησιμοποιηθεί σε διακομιστές Linux, FreeBSD και VMware ESXi, επικεντρώνεται κυρίως στην κρυπτογράφηση εικονικών μηχανών και τη διαγραφή των στιγμιοτύπων τους.
Ο κρυπτογράφος Qilin είναι κατασκευασμένος με μια ενσωματωμένη διαμόρφωση που καθορίζει την επέκταση για τα κρυπτογραφημένα αρχεία, τις διεργασίες που πρέπει να τερματίζονται, τα αρχεία που πρέπει να κρυπτογραφούνται ή να αποκλείονται, καθώς και τους φακέλους που πρέπει να κρυπτογραφούνται ή να αποκλείονται. Ωστόσο, περιλαμβάνει επίσης πολλαπλές παραμέτρους γραμμής εντολών που επιτρέπουν εκτεταμένη προσαρμογή αυτών των επιλογών διαμόρφωσης και του τρόπου με τον οποίο κρυπτογραφούνται τα αρχεία σε έναν διακομιστή.
Αυτά τα επιχειρήματα γραμμής εντολών περιλαμβάνουν επιλογές για να ενεργοποιήσετε τη λειτουργία αποσφαλμάτωσης, να πραγματοποιήσετε ένα δοκιμαστικό τρέξιμο χωρίς κρυπτογράφηση αρχείων ή να προσαρμόσετε τον τρόπο κρυπτογράφησης των εικονικών μηχανών και των αντιγράφων ασφαλείας τους.
Δείτε ακόμα: Διέρρευσαν εσωτερικά μηνύματα της ransomware συμμορίας Conti
Η επιχείρηση Qilin ransomware εκτελείτο αρχικά υπό την ονομασία “Agenda” από τον Αύγουστο του 2022. Ωστόσο, μέχρι τον Σεπτέμβριο, αναβάπτισε τον εαυτό της σε Qilin, υπό το οποίο συνεχίζει να λειτουργεί μέχρι σήμερα.
Όπως και άλλες επιθέσεις ransomware που στοχεύουν επιχειρήσεις, το Qilin θα παραβιάσει τα δίκτυα μιας εταιρείας και θα κλέψει δεδομένα καθώς εξαπλώνεται πλευρικά σε άλλα συστήματα.
Αφού συλλέξουν τα δεδομένα και αποκτήσουν τα διαπιστευτήρια διαχειριστή του διακομιστή, οι απειλητικοί παράγοντες εγκαθιστούν το ransomware για να κρυπτογραφήσουν όλες τις συσκευές στο δίκτυο. Οι κλεμμένες πληροφορίες και τα κρυπτογραφημένα αρχεία χρησιμοποιούνται στη συνέχεια ως μέσο πίεσης σε επιθέσεις διπλού εκβιασμού για να αναγκαστεί μια εταιρεία να πληρώσει λύτρα.
Από την έναρξή της, η λειτουργία του ransomware έχει καταγράψει μια σταθερή ροή θυμάτων, αλλά παρατηρήθηκε αυξημένη δραστηριότητα προς το τέλος του 2023.
Πρόσφατα, η Qilin διέπραξε μια επίθεση στον κολοσσό των αυτοκινητοβιομηχανιών Yanfeng.
Τα κύρια θύματα του Qilin ransomware είναι οι οργανισμοί και οι επιχειρήσεις που λειτουργούν σε κρίσιμους τομείς, όπως οι τραπεζικές υπηρεσίες, η υγειονομική περίθαλψη και η κρατική διοίκηση. Αυτοί οι οργανισμοί συχνά διαθέτουν ευαίσθητα δεδομένα και είναι στόχος των επιθέσεων του Qilin ransomware.
Οι μικρομεσαίες επιχειρήσεις είναι επίσης συχνά θύματα του Qilin ransomware. Αυτές οι επιχειρήσεις μπορεί να μην έχουν τους ίδιους πόρους για να αντιμετωπίσουν αποτελεσματικά τις επιθέσεις και μπορεί να είναι πιο ευάλωτες στην απώλεια δεδομένων και τις οικονομικές απώλειες.
Επιπλέον, άτομα που χρησιμοποιούν προσωπικούς υπολογιστές και διαδίκτυο επίσης μπορεί να είναι θύματα του Qilin ransomware. Οι επιθέσεις αυτές μπορεί να στοχεύουν σε άτομα που διατηρούν σημαντικά προσωπικά δεδομένα, όπως φωτογραφίες, αρχεία και προσωπικές πληροφορίες, με σκοπό την απόκτηση χρηματικού αντιτίμου για την αποκρυπτογράφηση των δεδομένων τους.
Δείτε επίσης: Οι συμμορίες ransomware αλλάζουν τακτικές και τα λύτρα αυξάνονται!
Τέλος, οι κυβερνητικές οντότητες μπορεί επίσης να αποτελούν θύματα του Qilin ransomware. Οι επιθέσεις αυτές μπορεί να έχουν πολιτικούς στόχους, με σκοπό την παρεμπόδιση της λειτουργίας των κυβερνητικών συστημάτων και την πρόκληση αναστάτωσης.
Πηγή: bleepingcomputer
