Actualidad

Se descubre una nueva variante del troyano Royal dirigida a las máquinas virtuales VMware ESXi

Estás leyendo la publicación: Se descubre una nueva variante del troyano Royal dirigida a las máquinas virtuales VMware ESXi

Un investigador de seguridad llamado Will Tomás en Equinix Threat Analysis Center (ETAC) descubrieron una nueva variante del troyano Royal que se ejecuta mediante una línea de comando.

De este modo, el troyano Royal se convierte en el último troyano que ha añadido soporte para cifrar dispositivos Linux a sus variantes, especialmente dirigidas a los sistemas virtuales VMware ESXi.

Ha habido varios incidentes de cifradores de ransomware similares lanzados por los grupos AvosLocker, Hive, Basta negra & más.

Además, admite múltiples indicadores, lo que brinda a los operadores de ransomware cierto control sobre el proceso de cifrado. Estas son las siguientes banderas.

-stopvm > detiene todas las máquinas virtuales en ejecución para que puedan cifrarse. -vmony: solo cifra máquinas virtuales -id: la identificación debe tener 32 caracteres. -fork – desconocido -logs – desconocido

Ahora, cuando el ransomware cifra el archivo, agrega la extensión .royal_u a todos los archivos cifrados en la máquina virtual.

Aunque los mecanismos anti-ransomware han tenido problemas detector el ransomware, pero ahora han detectado 23 de los 63 motores de escaneo de malware en Virus Total.

Se descubre una nueva variante del troyano Royal dirigida a las máquinas virtuales VMware ESXi 1Detección de malware

Para aquellos que no lo saben, Royal Ransomware es propiedad privada de varios actores de amenazas experimentados que anteriormente habían operado el ransomware Conti. El ransomware Royal se encontró por primera vez en enero de 2022 y, en septiembre, Royal incrementó sus actividades maliciosas.

Al principio, los actores de amenazas usaban cifradores de otras operaciones como BlackCat y luego cambiaron a usar los suyos propios, como Zoen, que enviaba notas de rescate como las enviadas por el ransomware Conti.

🔥 Recomendado:  ¿Es legítimo el marketing de afiliación? La verdad sobre el marketing de afiliados

Leer: Los atacantes abusan de los archivos adjuntos de OneNote para difundir malware RAT

En septiembre, los atacantes cambiaron el nombre de la cepa a Royal y luego comenzaron a implementar un nuevo cifrador en ataques que enviaban notas de rescate con exactamente los mismos nombres.

Después de eso, el grupo exige un rescate después de cifrar los sistemas de red empresarial de su objetivo.

El Departamento de Salud y Servicios Humanos de EE. UU. también advirtió contra el ransomware real dirigido a los sectores público y de salud.

Envíos de Royal RansomwareEnvíos de Royal RansomwareEnvíos de Royal Ransomware

Esta no es la primera vez que los atacantes se dirigen a las máquinas virtuales ESXI simplemente desde que las empresas comenzaron a usar las máquinas virtuales mientras mejoraban la administración de sus dispositivos y un manejo de recursos mucho más eficiente.

A medida que implementan la carga útil en los hosts ESXi, los atacantes utilizan un único comando para cifrar varios servidores. Una cosa a tener en cuenta aquí es que los grupos implementaron ransomware basado en Linux dirigido a ESXi.

Muchos servidores VMware ESXi en Internet obtuvieron su último bit. Ahora solo recibirán soporte técnico, pero solo recibirán actualizaciones de seguridad, lo que los hará susceptibles a ataques de rescate.

Leer: Medidas estrictas de Netflix sobre el uso compartido de contraseñas: qué esperar

Otros temas interesantes:

🔥 Recomendado:  ¿Cómo hacer Chromecast desde iPhone?