Операторы REvil создали Linux-версию шифровальщика для атак на ESXi

Операторы REvil создали Linux-версию шифровальщика для атак на ESXi

Операторы REvil создали Linux-версию шифровальщика для атак на ESXi

Операторы REvil теперь используют в кибератаках новую Linux-версию шифровальщика, адаптированную под виртуальные машины Vmware ESXi. Этот шаг злоумышленников выглядит вполне логичным, поскольку организации в последнее время переходят на виртуалки для более удобного резервного копирования и управления устройствами.

В мае специалист по информационной безопасности Елисей Богуславский поделился с сообществом постом с форума операторов REvil. В этом сообщении преступники сообщали о выходе Linux-версии шифровальщика, который теперь может свободно работать на NAS-устройствах.

 

Сегодня аккаунт MalwareHunterTeam в Twitter подтвердил существование версии вымогателя REvil (также известен как Sodinokibi) для Linux. Этот образец, согласно наблюдению специалистов, атакует серверы ESXi.

Виталий Кремец решил присоединиться к анализу нового семпла и обнаружил, что он представляет собой исполняемый файл ELF64, а его конфигурация ничем не отличается от более распространённой Windows-версии.

Как отметил Кремец в беседе с представителями BleepingComputer, это первый вариант вредоносной программы, заточенный именно под Linux. Если атакующему удастся запустить зловред на сервере, он сможет указать конкретный путь, по которому будут шифроваться файлы жертвы.

Фабиан Уосар из Emsisoft тоже поделился своим мнением, отметив, что некорректное завершение работы виртуальной машины может привести к повреждению затронутых файлов. При этом злоумышленники могут зашифровать множество серверов за раз всего лишь с помощью одной команды.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

На рынок вышел продукт Solar SIEM, объединяющий SIEM и SOAR

Группа компаний «Солар» вывела на рынок новый продукт — Solar SIEM, который объединяет две ключевые технологии в одном решении: SIEM и SOAR. Такой подход, по оценке разработчиков, позволяет сократить до 40% затрат на внедрение систем для центров мониторинга кибербезопасности (SOC).

По данным компании, продукт ориентирован на три категории заказчиков. Во-первых, это организации, создающие собственные SOC — банки, онлайн-ретейл, маркетплейсы и промышленность.

Во-вторых, компании, которые переходят с зарубежных SIEM-платформ. И в-третьих, пользователи гибридных SOC, совмещающих внутренний и внешний контур реагирования.

По оценкам аналитиков, рынок решений для анализа и реагирования на инциденты ИБ активно растёт. В 2024 году этот сегмент оценивался в 36,1 млрд рублей, а доля SIEM-решений — в 9,4 млрд с прогнозом роста до 14,1 млрд рублей к 2027 году. Развитию сегмента способствует и рынок сервисов MSSP — он может увеличиться с 26,1 млрд до 54,1 млрд рублей к 2028 году.

Новый продукт «Солара» призван закрыть ключевые потребности SOC-команд: автоматизировать мониторинг и реагирование, повысить эффективность аналитиков первых линий и предоставить возможность гибко настраивать процессы под специфику организации.

В компании отмечают, что отсутствие систем SIEM и SOAR в инфраструктуре повышает риск долгосрочных и «малошумных» атак. Только в первом полугодии 2025 года число атак, продолжающихся месяц и более, выросло на 16% — чаще всего под удар попадают госструктуры, промышленность, ИТ и медицина.

Solar SIEM объединяет функции обеих технологий на одной платформе, позволяя командам SOC видеть полную картину происходящего и быстрее реагировать на киберинциденты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru