Abyss Locker è uno dei ransomware multi-piattaforma più pericolosi. I ricercatori del MalwareHunterTeam hanno individuato una versione per Linux che colpisce le macchine virtuali create con VMware ESXi. Gli obiettivi dei cybercriminali sono quindi le aziende che usano il popolare software enterprise.
Abyss Locker colpisce VMware ESXi
I principali target dei ransomware sono ancora i server fisici. Molte aziende utilizzano sempre più spesso le macchine virtuali per vari motivi (migliore gestione delle risorse, prestazioni, disaster recovery e altri), quindi i cybercriminali hanno aggiornato il loro “arsenale”. In circolazione ci sono molti ransomware per VMware ESXi, tra cui Akira, Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX e Hive.
All’elenco si aggiunge Abyss Locker, apparso per la prima volta nel mese di marzo. La tecnica è sempre la stessa. Dopo aver ottenuto l’accesso alle macchine virtuali, i cybercriminali rubano i dati, cifrano i file e chiedono un riscatto. Se l’azienda non paga, i dati vengono pubblicati online (doppia estorsione). Sul sito Tor sono già elencate 14 vittime.
La versione Linux del ransomware utilizza il comando esxcli
di VMware ESXi per trovare le macchine virtuali attive e terminarle. Ciò permette di applicare la crittografia a dischi virtuali (file .vmdk
), snapshot (file .vmsn
) e metadati (file .vmsd
). Vengono inoltre cifrati tutti gli altri i file e aggiunta l’estensione .crypt
al nome.
Al termine dell’operazione viene mostrato un file di testo con le istruzioni da seguire per accedere al sito Tor usato per la negoziazione del riscatto. Il ricercatore di sicurezza Michael Gillespie ha verificato che il codice di Abyss Locker è simile a quello di HelloKitty, ma l’algoritmo crittografico è ChaCha.