AvosLocker, özellikle VMware ESXi sanal makinelerini hedefleyen en son kötü amaçlı yazılım türevlerine Linux sistemlerini şifrelemek için destek ekleyen en yeni fidye yazılımı çetesidir.
Hangi hedeflere saldırı yapıldığını bulamasak da bu AvosLocker fidye yazılımı Linux varyantı, BleepingComputer 1 milyon dolarlık fidye talebiyle vurulan en az bir kurban biliyor.
Birkaç ay önce, AvosLocker çetesi, en son fidye yazılımı çeşitleri olan Windows Avos2 ve AvosLinux’un reklamını yaparken, bağlı kuruluşlarını Sovyet sonrası/BDT hedeflerine saldırmamaları konusunda uyarırken de görüldü.
Ekip, “Yeni varyantlar (avos2 / avoslinux) her iki dünyanın da sunduğu en iyi özelliklere sahiptir: rakiplerine kıyasla yüksek performans ve yüksek miktarda şifreleme” söz konusu.
ESXi VM’leri şifrelemeden önce sonlandırıldı
Bir Linux sisteminde başlatıldığında, AvosLocker aşağıdaki komutu kullanarak sunucudaki tüm ESXi makinelerini sonlandıracaktır:
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'
Güvenliği ihlal edilmiş bir sistemde çalışmaya başladığında, fidye yazılımı tüm şifrelenmiş dosyalara .avoslinux uzantısını ekler.
Ayrıca, kurbanlardan dosya bozulmasını önlemek için bilgisayarlarını kapatmamalarını ve fidyenin nasıl ödeneceği konusunda daha fazla ayrıntı için bir soğan sitesini ziyaret etmelerini isteyen fidye notları da bırakıyor.
Güvenlik araştırmacısı MalwareHunterTeam, BleepingComputer’a AvosLocker’ın Kasım 2021’den itibaren Linux şifreleyicisini kullanmaya başladığını söyledi.
Ransomware’in Linux’a geçişi
AvosLocker, ilk olarak 2021 yazında ortaya çıkan ve yeraltı forumlarındaki fidye yazılımı ortaklarını yeni başlatılan Hizmet Olarak Fidye Yazılımı (RaaS) operasyonuna katılmaya çağıran daha yeni bir çetedir.
ESXi sanal makinelerini hedefleme hareketi, daha kolay cihaz yönetimi ve daha verimli kaynak kullanımı için yakın zamanda sanal makinelere geçiş yapan kurumsal hedefleriyle uyumludur.
Fidye yazılımı operatörleri, sanal makineleri hedefleyerek, tek bir komutla birden çok sunucunun daha kolay ve daha hızlı şifrelenmesinden de yararlanır.
Ekim ayından bu yana Hive fidye yazılımı Linux ve FreeBSD sistemlerini şifrelemeye başladı araştırmacıların bir REvil fidye yazılımı Linux şifreleyici VMware ESXi VM’lerini hedefleme.
Emsisoft CTO’su Fabian Wosar BleepingComputer’a Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide ve Hellokitty gibi diğer fidye yazılımı çetelerinin de kendi Linux şifreleyicilerini oluşturup kullandığını söyledi.
Wosar, “Çoğu fidye yazılımı grubunun fidye yazılımlarının Linux tabanlı bir sürümünü kullanmasının nedeni, özellikle ESXi’yi hedef almaktır” dedi.
HelloKitty ve BlackMatter fidye yazılımı Linux çeşitleri de güvenlik araştırmacıları tarafından vahşi doğada keşfedildi. Temmuz ve Ağustos, Wosar’ın açıklamasını daha da doğruladı. Snatch ve PureLocker fidye yazılımı işlemleri de geçmişte Linux şifreleyicileri kullanılarak gözlemlendi.
AvosLocker fidye yazılımı ve bu fidye yazılımı ailesi tarafından vurulursanız ne yapmanız gerektiği hakkında daha fazla bilgiyi şurada bulabilirsiniz: destek konumuz.