BlackBasta je najnoviji ransomware koji cilja ESXi virtualne strojeve na Linuxu

BlackBasta je najnoviji ransomware koji cilja ESXi virtualne strojeve na Linuxu

BlackBasta, je ransomware napravljen i distribuiran od strane grupe Conti i počela je podržavati enkripciju VMwareovih ESXi virtualnih strojeva (VM) instaliranih na poslužiteljima Linuxa . Budući da je sve više organizacija počelo koristiti VM-ove radi isplativost i lakše upravljanje uređajima, ova promjena taktike ima smisla.

ESXi VM je softver za hipervizor golih metala . Softver se može okarakterizirati kao "goli metal" ako je instaliran izravno na fizički stroj, između hardvera i operativnog sustava.

Siddharth Sharma i Nischay Hegde, istraživači prijetnji iz Uptycsa, prvi su uočili i otkrili BlackBastinu taktičku promjenu u izvješću .

Na Linuxu: ransomware BlackBasta 101

BlackBasta se prvi put pojavila u travnju 2022. nakon što je grupa pojačala svoje napade na desetke organizacija. Iako se brend čini relativno novim, način na koji grupa brzo skuplja žrtve, kao i njihove pregovaračke taktike, odaju razinu iskustva koja se ne može vidjeti u novonastalim i neiskusnim online kriminalnim bandama. To je vjerojatno razlog zašto ih mnoge zajednice kibernetičke sigurnosti povezuju s poznatim akterima ransomwarea, posebice Contijem .

Kao i druge varijante ransomwarea koje ciljaju na Linux sustave, BlackBasta šifrira /vmfs/volumesmapu. Ovdje se pohranjuju virtualni strojevi na ESXi poslužiteljima. Šifriranje datoteka ovdje učinit će VM-ove neupotrebljivim.

Međutim, ako ne može pronaći ovu mapu, ransomware izlazi.

BlackBasta ransomware koristi ChaCha20 , kriptografski algoritam poznat po svojoj brzini, za šifriranje datoteka. Ovo se izvodi paralelno s višenitnošću kako bi se šifriranje učinilo bržom, dodatno izbjeglo otkrivanje i povećalo propusnost ransomwarea.

Nakon što su datoteke šifrirane, ekstenzija .bastase dodaje na kraj svih zahvaćenih datoteka. BlackBasta također ispušta bilješku s otkupninom readme.txt, koja sadrži jedinstveni ID i URL na kanal za podršku za chat koji je dostupan samo pomoću Tor-a.

Dio poruke o otkupnini glasi:

Your data are stolen and encrypted
The data will be published on TOR website if you do not pay the ransom
You can contact us and decrypt one file for free on this TOR site
(you should download and install TOR browser first https://torproject.org)
{URL redacted}

Zaštitite svoj Linux ESXi VM od ransomware napada

  • Ojačajte pristup SSH (Secure Shell) kako biste ga mogli koristiti samo određenom korisniku.
  • Onemogućite SSH ako nije potreban ili ga učinite dostupnim samo s određene mreže/IP adrese putem konfiguracije vatrozida.
  • Osigurajte da slijedite opće sigurnosne preporuke VMWarea za ESXi .

Organizacije također imaju mogućnost korištenja besplatnog alata otvorenog koda pod nazivom Lynis , koji je alat za reviziju.

Također možete pročitati naš članak o 5 obitelji zlonamjernog softvera za Linux od kojih bi se mala i srednja poduzeća trebala zaštititi.

Zaštitite uređaj sa Emsisoft Anti-Malware.


Je li vas antivirus iznevjerio? Mi nećemo. Preuzmite besplatnu probnu inačicu Emsisoft Anti-Malware i uvjerite se sami.

Image

Related Articles

Što je extortionware?

Ransomware profil: Egregor

Danas je sjedište tvrtke Emsisoft na Novom Zelandu, ali održava globalnu prisutnost putem lokalnih timova u svim vremenskim zonama. Zlonamjerni softver ne spava, a ni mi.

 

Korisni linkovi