I ricercatori di sicurezza del MalwareHunterTeam hanno scoperto un nuovo ransomware che attacca i server Windows e Linux ESXi di VMware. Al malware è stato assegnato il nome RedAlert, derivato dal termine presente nel testo scritto per chiedere il riscatto. Al momento risulta un attacco effettuato solo contro un’azienda, ma per evitare problemi è sempre consigliata l’installazione di una soluzione di sicurezza che rileva e blocca questo tipo di minaccia.
RadAlert colpisce i server VMware ESXi
In base alle informazioni ottenute da Bleeping Computer, la versione Linux del ransomware viene chiamata anche N13V, ma le funzionalità sono le stesse. I cybercriminali utilizzano una serie di comandi per interrompere l’esecuzione delle macchine virtuali, prima di avviare la cifratura dei file. RedAlert sfrutta l’algoritmo crittografico a chiave pubblica NTRUEncrypt che offre diversi livelli di sicurezza.
I target del ransomware sono esclusivamente i file associati ai server VMware ESXi (log, dischi virtuali, swap e memoria e snapshot) con estensioni .log, .vmdk, .vmem, .vswp e .vmsn. Al termine dell’operazione viene aggiunta l’estensione .crypt658
al nome dei file. In ogni directory viene creato un file di testo che contiene le istruzioni per pagare il riscatto in Monero e ricevere il decryptor (la vittima deve accedere ad un sito .onion con il browser Tor).
Come quasi tutti i ransomware in circolazione, anche RedAlert utilizza il metodo della doppia estorsione. I cybercriminali chiedono il pagamento di una somma di denaro per fornire il decryptor e non pubblicare online i dati rubati. Nel caso scoperto dal MalwareHunterTeam si tratta di circa 300 GB.