 |
RedAlert o N13V, es una nueva campaña de ransomware que tiene como objetivo los servidores Windows y Linux VMware ESXi de las redes corporativas. |
MalwareHunterTeam identificó una nueva amenaza que tiene como objetivo servidores VMware ESXi de Windows y Linux y compartió capturas de pantalla del sitio de filtración del grupo. La nueva operación de ransomware se llama RedAlert o N13V. El nombre, RedAlert se basa en una cadena encontrada en la nota de rescate. Sin embargo, el grupo llama a su operación N13V internamente.
Captura de pantalla de la ejecucón del ransomware
Robo de los datos antes del cifrado
El ransomware realiza un doble ataque de extorsión. Esto significa que los datos son robados antes de ser encriptados. Así, si la víctima se niega a realizar el pago, la banda amenaza a la empresa con filtrar los datos robados, permitiendo que cualquiera los descargue. El sitio web de la banda sólo ha filtrado datos de una organización, lo que demuestra que la operación es muy nueva.
El encriptador utiliza opciones de línea de comandos para apagar las máquinas virtuales antes de encriptarlas. Las líneas de comando son:
- w: Run command for stop all running VM`s
- p: Path to encrypt (by default encrypts files only in the directory, does not include subdirectories)
- f: File for encrypting
- r: Recursive. used only with -p (search and encryption will include subdirectories)
- t: Check encryption time (only encryption, without key-gen, memory allocates)
- n: Search without file encryption (shows files and folders with some info)
- x: Asymmetric cryptography performance tests.
El ransomware utiliza el algoritmo de cifrado de clave pública NTRUEncrypt, que admite Parameter Sets. Sólo se dirige a los archivos asociados con VMware ESXi VM, incluyendo .log, .vmdk, .vmem, .vswp y .vmsn. El ransomware también crea una nota de rescate llamada how_to_restore, que incluye la descripción de los datos robados y un enlace para que la víctima realice el pago del rescate. La banda sólo acepta Monero para el pago.
Fuente: https://cloud7.news/security/new-ransomware-targeting-vmware-esxi-servers/