La banda de ransomware REvil está atacando dispositivos NAS y ESXi de VMware
Los ciberdelincuentes detrás de una serie de ataques de ransomware de alto perfil, incluido uno que atacó a JBS Foods por 11 millones de dólares el mes pasado, han trasladado su código de malware al sistema operativo Linux. El movimiento inusual es un intento de apuntar al software de administración de máquinas virtuales ESXi de VMware. También pretender atacar los dispositivos de almacenamiento conectados a la red (NAS) que se ejecutan en el sistema operativo Linux.
Los investigadores de AT&T Cybersecurity dijeron que han confirmado cuatro muestras para Linux del malware REvil en el entorno.
Ofer Caspi, investigador de AT&T Cybersecurity, escribió el jueves que después de recibir un consejo de MalwareHuntingTeam, identificó las cuatro muestras.
“Los autores del ransomware REvil han ampliado su arsenal para incluir ransomware para Linux, lo que les permite apuntar a dispositivos ESXi y NAS”.
En un guiño a la investigación de AdvIntel a principios de mayo de 2021, que reportó la intención de REvil de portar su ransomware basado en Windows a Linux, Caspi confirmó que la variante de Linux fue detectada en mayo. La variante está “afectando a los sistemas *nix y ESXi”.
Las muestras son ejecutables ELF-64, con similitudes con el ejecutable para Windows de REvil, siendo las más notables entre las opciones de configuración.
El formato ejecutable y enlazable (o ELF-64) es un formato de archivo estándar para archivos ejecutables dentro de los sistemas operativos Linux y UNIX.
Ransomware para Linux – raro, pero real
Lo que hace que el descubrimiento de la variante sea único es que Linux, Unix y otros sistemas operativos similares no suelen ser el objetivo de los atacantes. Los sistemas informáticos de Microsoft Windows generalmente ofrecen el mayor rendimiento del esfuerzo de un atacante debido a la ubicuidad del sistema operativo. Además, las instancias de Linux generalmente están bien protegidas contra vulnerabilidades, gracias a una base de usuarios muy ajustada que ofrece actualizaciones de seguridad rápidas.
Los ejemplos anteriores de malware para Linux en los últimos años han incluido Tycoon, Lilocked (o Lilu) y QNAPCrypt.
En noviembre, Kaspersky identificó una muestra de Linux de RansomEXX. Los investigadores notaron que los delincuentes basaron su variante de Linux en “WinAPI (funciones específicas del sistema operativo Windows)”. Estos utilizaron un mecanismo similar para manipular bibliotecas MBED TLS de Linux.
MBED TLS es una implementación de los protocolos TLS y SSL distribuidos bajo la Licencia Apache. Apache es un software de servidor web ampliamente utilizado que se ejecuta en la plataforma Linux.
En mayo, los investigadores notaron que los criminales detrás del ransomware DarkSide también lanzaron una variante de Linux.
Ataques dirigidos – Linux en la mira
VMware ESXi, anteriormente conocido como ESX, es un hipervisor que se instala fácilmente en un servidor y lo divide en varias máquinas virtuales (VM).
El hipervisor ESXi permite que varias máquinas virtuales compartan el mismo almacenamiento de disco duro. Sin embargo, esto también permite a los atacantes cifrar los discos duros virtuales centralizados que se utilizan para almacenar datos de todas las máquinas virtuales.
Es decir, podría causar interrupciones en las empresas. El ransomware además de apuntar a ESXi, también apunta a los dispositivos NAS como otra plataforma de almacenamiento.
Los investigadores dijeron que la versión para Linux de REvil comparte atributos similares a la variante del sistema operativo Windows. El formato del archivo de configuración [ejecutable] es muy similar al observado para las muestras de REvil para Windows, pero con menos campos.
Según los investigadores, los ciberdelincuentes detrás de REvil han desarrollado rápidamente una versión de Linux para competir con la versión para Linux de DarkSide lanzada recientemente.
