Abyss soyunma işlemi, VMware'in ESXI Sanal Makineleri platformunu işletmeye yönelik saldırılarda hedeflemek için bir Linux şifrelemesi geliştiren en son işlemdir.
İşletme, daha iyi kaynak yönetimi, performans ve felaket kurtarma için tek tek sunuculardan sanal makinelere geçtikçe, fidye yazılımı çeteleri platformu hedeflemeye odaklanan şifrelemeler yaratır.
VMware ESXI en popüler sanal makine platformlarından biri olmasıyla, hemen hemen her fidye yazılımı çetesi, bir cihazdaki tüm sanal sunucuları şifrelemek için Linux şifrelemelerini serbest bırakmaya başladı.
Çoğu hedefleme VMware ESXI ile Linux fidye yazılım şifrelemelerini kullanan diğer fidye yazılımı işlemleri arasında Akira, Royal, Black Basta, Lockbit, Blackmatter, Avoslocker, Revil, Hellokitty, Ransomexx ve Hive bulunur.
Abyss Locker, Mart 2023'te saldırılarda şirketleri hedeflemeye başladığında başlatıldığına inanılan nispeten yeni bir fidye yazılımı operasyonudur.
Diğer fidye yazılımı operasyonları gibi, Abyss soyunma tehdidi aktörleri kurumsal ağları ihlal edecek, çift uzatma için veriler çalacak ve ağdaki şifreleme cihazlarını çalacak.
Çalınan veriler daha sonra bir fidye ödenmezse dosyaları sızdırmakla tehdit ederek kaldıraç olarak kullanılır. Çalınan dosyaları sızdırmak için, tehdit aktörleri şu anda on dört kurbanı listeleyen 'Abyss-Data' adlı bir TOR veri sızıntısı sitesi oluşturdu.
Tehdit aktörleri, bir şirketten diğerinde 700 GB'a kadar 35 GB arasında herhangi bir yerde çaldığını iddia ediyor.
Bu hafta, güvenlik araştırmacısı Malwarehunterteam, Abyss soyunma işlemi için bir Linux Elf şifrelemesi buldu ve analiz için BleepingComputer ile paylaştı.
Yürütülebilir dosyadaki dizelere baktıktan sonra, şifrelemenin özellikle VMware ESXI sunucularını hedeflediği açıktır.
Aşağıdaki komutlardan da görebileceğiniz gibi, şifreleme, ilk olarak mevcut tüm sanal makineleri listelemek ve daha sonra sonlandırmak için 'ESXCLI' komut satırı VMware ESXI Yönetim Aracını kullanır.
Sanal makineleri kapatırken Abyss Locker, 'VM Process Kill' komutunu ve yumuşak, sert veya zorla seçeneklerden birini kullanacaktır.
Yumuşak seçenek zarif bir kapatma gerçekleştirir, zor seçenek hemen bir VM'yi sonlandırır ve kuvvet son çare olarak kullanılır.
Şifreleme, ilişkili sanal disklerin, anlık görüntülerin ve meta verilerin aşağıdaki uzantılarla tüm dosyaları şifreleyerek düzgün bir şekilde şifrelenmesine izin vermek için tüm sanal makineleri sonlandırır: .vmdk (sanal diskler), .vmsd (meta veriler) ve .vmsn (anlık notlar).
Sanal makineleri hedeflemeye ek olarak, fidye yazılımı, cihazdaki diğer tüm dosyaları şifreleyecek ve aşağıda gösterildiği gibi .Crypt uzantısını dosya adlarına ekleyecektir.
Her dosya için, şifreleme fidye notu olarak hareket eden .Readme_to_restore uzantısına sahip bir dosya oluşturur.
Bu fidye notu, dosyalara ne olduğu ve tehdit oyuncusu TOR müzakere sitesine benzersiz bir bağlantı hakkında bilgi içerir. Bu site, sadece fidye yazılımı çetesi ile müzakere etmek için kullanılabilecek bir sohbet paneline sahip olan barebonlardır.
Fidye yazılımı uzmanı Michael Gillespie, Abyss Locker Linux şifrelemesinin bunun yerine Chacha şifrelemesini kullanarak Hello Kitty'ye dayandığını söyledi.
Bununla birlikte, bunun Hellokitty operasyonunun yeniden markası olup olmadığı veya Vice Society ile gördüğümüz gibi başka bir fidye yazılımı operasyonunun şifrenin kaynak koduna erişip erişmediği bilinmemektedir.
Ne yazık ki, Hellokitty tarihsel olarak güvenli bir fidye yazılımı olmuştur ve dosyaların ücretsiz olarak kurtarılmasını önler.
Akira Ransomware hedefleri VMware ESXI sunucularının Linux sürümü
NoSeScape ile tanışın: Avaddon Ransomware Gang'ın muhtemel halefi
Ransomware'de Hafta - 30 Haziran 2023 - Yanlış Kimlik
Royal Ransomware Gang, Arsenallerine Blacksuit şifrelemesini ekliyor
Bir fidye yazılımı saldırısı nedeniyle toplu şifre sıfırlama nasıl yönetilir
Kaynak: Bleeping Computer