Исследователь кибербезопасности Уилл Томас из Центра анализа угроз Equinix (ETAC) обнаружил , что программа-вымогатель Royal Ransomware добавила поддержку шифрования устройств Linux к своим последним вариантам вредоносного ПО, нацеленным на виртуальные машины VMware ESXi.
Новый вариант Royal Ransomware выполняется с помощью командной строки и поддерживает нескольких флагов, которые дадут оператору частичный контроль над процессом шифрования:
- -stopvm – останавливает все работающие виртуальные машины, чтобы их можно было зашифровать;
- -vmonly – шифровать только виртуальные машины;
- -fork – неизвестно;
- -logs – неизвестно;
- -id – идентификатор из 32 символов.
При шифровании файлов программа-вымогатель добавит расширение “.royal_u” ко всем зашифрованным файлам на виртуальной машине. Ранее антивирусные решения ранее не могли обнаружитьновый образец Royal Ransomware, но теперь он обнаруживается 23 из 62 модулей сканирования на VirusTotal.
Разница в результатах сканирования нового варианта Royal
Сдвиг групп вымогателей в сторону виртуальных машин ESXi связан с тем, что предприятия переходят на виртуальные машины, поскольку они обеспечивают улучшенное управление устройствами и более эффективную обработку ресурсов. После развертывания полезных нагрузок на хостах ESXi операторы программ-вымогателей используют одну команду для шифрования нескольких серверов.