Abyss Locker operasyonu, kuruluşlara yönelik saldırılarda VMware’in ESXi sanal makineler platformunu hedef alan bir Linux şifreleyici geliştiren en son saldırı yöntemidir.
Kuruluşlar, daha iyi kaynak yönetimi, performans ve felaket kurtarma için bireysel sunuculardan sanal makinelere geçerken, fidye yazılımı çeteleri, platformu hedeflemeye odaklanan şifreleyiciler oluşturuyor.
VMware ESXi’nin en popüler sanal makine platformlarından biri olmasıyla, hemen hemen her fidye yazılımı çetesi, bir cihazdaki tüm sanal sunucuları şifrelemek için Linux şifreleyicileri piyasaya sürmeye başladı.
Akira, Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX ve Hive, çoğu VMware ESXi’yi hedefleyen Linux fidye yazılımı şifreleyicilerini kullanan diğer fidye yazılımı operasyonları arasında yer alıyor. .
Abyss Locker
Abyss Locker, Mart 2023’ten bu yana saldırılarla şirketleri hedef almaya başladığına inanılan nispeten yeni bir fidye yazılımı olarak çıkıyor karşımıza .
Diğer fidye yazılımı operasyonlarında olduğu gibi, Abyss Locker tehdit aktörleri kurumsal ağları ihlal ederek, çifte gasp için verileri çalarak ve ağdaki cihazları şifreliyorlar.
Çalınan veriler daha sonra fidye ödenmezse dosyaları sızdırmakla tehdit ederek şirketleri baskı altına almak için kullanılıyor. Çalınan dosyaları sızdırmak için tehdit aktörleri, şu anda on dört kurbanı listeleyen ‘Abyss-data’ adlı bir Tor veri sızıntısı sitesi oluşturdular.
Tehdit aktörleri, bir şirketten 35 GB ve bir diğerinden ise 700 GB’a varan veri çaldıklarını iddia ediyor.
VMware ESXi Sunucları Hedef Alınıyor
Bu hafta, güvenlik araştırmacısı MalwareHunterTeam , Abyss Locker işlemi için bir Linux ELF şifreleyici buldu ve analizi BleepingComputer ile paylaştı.
Yürütülebilir dosyadaki dizelere baktıktan sonra, şifreleyicinin özellikle VMware ESXi sunucularını hedeflediği açıkça görülüyor.
Aşağıdaki komutlardan da görebileceğiniz gibi, şifreleyici ‘esxcli’ komut satırı VMware ESXi yönetim aracını kullanarak önce tüm kullanılabilir sanal makineleri listeliyor ve ardından bunları sonlandırıyor.
esxcli vm process list
esxcli vm process kill -t=soft -w=%d
esxcli vm process kill -t=hard -w=%d
esxcli vm process kill -t=force -w=%d
Abyss Locker, sanal makineleri kapatırken ‘vm process kill’ komutunu ve soft, hard veya force seçeneklerden birini kullanıyor.
Soft seçenek sistemi zorlamadan bir kapatma gerçekleştiriyor, hard seçenek ise bir VM’yi hemen kapatıyor. Bu iki seçenek başarılı olmazsa son çare olarak force seçeneği kullanılıyor.
Şifreleyici, tüm dosyaları şu uzantılarla şifreleyerek ilişkili sanal disklerin, anlık görüntülerin ve meta verilerin uygun şekilde şifrelenmesine izin vermek için tüm sanal makineleri sonlandıyor: .vmdk (sanal diskler), .vmsd (meta veriler) ve .vmsn (anlık görüntüler).
Fidye yazılımı, sanal makineleri hedeflemenin yanı sıra, cihazdaki diğer tüm dosyaları da şifreliyor ve aşağıda gösterildiği gibi dosya adlarına .crypt uzantısını ekliyor.
Şifreleyici, her dosya için fidye notu işlevi gören .README_TO_RESTORE uzantılı bir dosya da oluşturuyor.
Bu fidye notu, dosyalara ne olduğu hakkında bilgi ve tehdit aktörünün Tor üzerindeki sitesine benzersiz bir bağlantı içeriyor. Bu site, yalnızca fidye yazılımı çetesiyle anlaşmak için kullanılabilecek bir sohbet paneline sahip olan basit bir site.
Fidye yazılımı uzmanı Michael Gillespie, Abyss Locker Linux şifreleyicisinin Hello Kitty tabanlı olduğunu ve bunun yerine ChaCha şifrelemesi kullandığını söyledi.
Bununla birlikte, bunun HelloKitty operasyonunun yeni oluşumu olup olmadığı veya Vice Society’de gördüğümüz gibi başka bir fidye yazılımı operasyonunun şifreleyicinin kaynak koduna erişim sağlayıp sağlamadığı bilinmiyor .
Ne yazık ki, HelloKitty geçmişte dosyaların ücretsiz olarak kurtarılmasını engelleyen zorlu bir fidye yazılımı olmuştur.
Kaynak: https://bleepingcomputer.com