Linux-версия шифровальщика Royal нацелилась на серверы VMware ESXi

Linux-версия шифровальщика Royal нацелилась на серверы VMware ESXi

Linux-версия шифровальщика Royal нацелилась на серверы VMware ESXi

Программе-вымогателю Royal Ransomware добавили поддержку шифрования на устройствах, работающих на базе операционной системы Linux. Теперь шифровальщик активно атакует виртуальные машины VMware ESXi.

Новая версия Royal запускается из консоли и предоставляет оператору возможность управлять процессом шифрования с помощью флагов. Так, флаг –stopvm останавливает все работающие ВМ, чтобы высвободить данные для шифрования; флаг –vmonly ограничивает шифрование виртуальными машинами.

К обработанным файлам добавляется расширение .royal_u (Windows-версия использует .royal). Пострадавшие форумчане BleepingComputer отметили, что расширение виртуального диска (.vmdk) в VMware не изменяется, но весь диск при этом оказывается зашифрованным.

Записка с требованием выкупа README.TXT распечатывается на принтере (Windows-версия традиционно оставляет ее в папках с зашифрованными файлами).

 

Сайт вымогателей размещен в сети Tor. В настоящее время Linux-версию Royal детектируют 30 из 63 антивирусов из коллекции VirusTotal (по состоянию на утро 6 февраля).

Операторы Royal Ransomware обходятся без партнеров; по данным BleepingComputer, они прежде работали в составе группировки Conti. Первые атаки закрытого сообщества были зафиксированы в январе прошлого года.

Вначале вымогатели заимствовали шифратор у других вредоносов — LockBit, BlackCat, затем создали собственный (с выпуском версии Zeon). В сентябре кибергруппа провела ребрендинг; самопальный шифратор обновили, в генерируемых им записках для жертв появилось имя Royal.

Активность шифровальщика возросла, количество образцов, загружаемых жертвами на ID Ransomware, стало множиться:

 

Выбор VMware ESXi в качестве мишени соответствует общей тенденции в мире шифровальщиков. Такие цели позволяют с помощью единственной команды зашифровать данные на множестве серверов; ESXi охотно включают в свои списки не только уже известные зловреды, но и новички: Nevada, ESXiArgs.

Последний примечателен тем, что использует нестандартную криптосхему — в нее включен потоковый шифр Sosemanuk, ранее замеченный лишь у ESXi-версии Babuk. Вымогатель ESXiArgs появился на ИБ-радарах в начале текущего месяца и успел поразить порядка 3200 серверов VMware ESXi.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Группа ДОМ.РФ и Positive Technologies заключили соглашение о партнерстве

Группа ДОМ.РФ и компания Positive Technologies подписали соглашение о партнёрстве, направленное на развитие и внедрение отечественных решений для обеспечения информационной безопасности в банковском секторе.

Соглашение станет частью более широкой стратегии по импортозамещению ИБ-продуктов, особенно актуальной для финансовой отрасли.

Финансовые организации традиционно остаются одной из главных целей киберпреступников. По данным Positive Technologies, в 2024 году финансовый сектор вошёл в топ-5 наиболее атакуемых отраслей в России.

Угроза исходит не только со стороны злоумышленников, стремящихся к прямой краже средств, но и от атак на персональные и корпоративные данные, а также попыток дестабилизации работы банков и других учреждений.

В рамках партнёрства Группа ДОМ.РФ планирует реализовать масштабные проекты в сфере информационной безопасности, включая расширенное внедрение российских средств защиты. Уже сейчас в инфраструктуре группы применяются решения Positive Technologies, и их использование будет расширяться.

«Современные ИТ-системы становятся всё более сложными, а методы атак — всё изощрённее. Надёжная защита возможна только при комплексном подходе: от укрепления инфраструктуры до оценки рисков и регулярного обучения сотрудников. Мы уверены, что наш опыт поможет партнёрам из ДОМ.РФ укрепить защиту и повысить прозрачность ИБ-процессов», — отметил Борис Симис, заместитель генерального директора Positive Technologies по развитию бизнеса.

«Мы уделяем особое внимание кибербезопасности нашей масштабной инфраструктуры и делаем ставку на российские технологии. В условиях импортозамещения особенно важно развивать партнёрства с ведущими отечественными вендорами. Это сотрудничество поможет не только нам, но и всей отрасли — за счёт совершенствования решений и их адаптации под реальные потребности», — прокомментировал Николай Козак, управляющий директор Группы ДОМ.РФ.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru