Se ha encontrado una muestra del encriptador de VMware ESXi de la banda de ransomware Qilin y podría ser uno de los encriptadores de Linux más avanzados y personalizables vistos hasta la fecha.
Las empresas se decantan cada vez más por las máquinas virtuales para alojar sus servidores, ya que permiten un mejor uso de los recursos disponibles de CPU, memoria y almacenamiento.
Debido a esta adopción, casi todas las bandas de ransomware han creado cifradores dedicados a VMware ESXi para atacar estos servidores.
Aunque muchas operaciones de ransomware utilizan el código fuente filtrado de Babuk para crear sus cifradores, algunas, como Qilin, crean sus propios cifradores para atacar servidores Linux.
Qilin ataca VMware ESXi
El mes pasado, el investigador de seguridad MalwareHunterTeam encontró un cifrador Linux ELF64 para la banda de ransomware Qilin y lo compartió con BleepingComputer para su análisis.
Aunque el cifrador puede utilizarse en servidores Linux, FreeBSD y VMware ESXi, se centra sobre todo en cifrar máquinas virtuales y borrar sus instantáneas.
El encriptador de Qilin está construido con una configuración integrada que especifica la extensión de los archivos encriptados, los procesos a terminar, los archivos a encriptar o excluir y las carpetas a encriptar o excluir.
Sin embargo, también incluye numerosos argumentos de línea de comandos que permiten una amplia personalización de estas opciones de configuración y de cómo se cifran los archivos en un servidor.
Estos argumentos de línea de comandos incluyen opciones para activar un modo de depuración, realizar una ejecución en seco sin cifrar ningún archivo o personalizar cómo se cifran las máquinas virtuales y sus instantáneas.
La operación de ransomware Qilin
La operación de ransomware Qilin se lanzó inicialmente como "Agenda" en agosto de 2022. Sin embargo, en septiembre, pasó a llamarse Qilin, que continúa operando hasta el día de hoy.
Al igual que otras operaciones de ransomware dirigidas a empresas, Qilin violará las redes de una empresa y robará datos a medida que se propagan lateralmente a otros sistemas.
Cuando terminan de recopilar datos y obtener credenciales de administrador del servidor, los actores de amenazas implementan el ransomware para cifrar todos los dispositivos de la red.
Los datos robados y los archivos cifrados se utilizan luego como palanca en ataques de doble extorsión para obligar a una empresa a pagar una demanda de rescate.
Desde su lanzamiento, la operación de ransomware ha tenido un flujo constante de víctimas, pero ha experimentado una mayor actividad hacia finales de 2023.