Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
agosto
(Total:
65
)
- Vulnerabilidad en Skype expone la IP pública de cu...
- El FBI desarticula la famosa red de malware Qakbot
- Joven autista hackeó Rockstar Games desde un hotel...
- Fairphone 5: el móvil sostenible y fácil de repara...
- YouTube cambiará «strikes» por cursos de capacitación
- Las marcas de tarjetas gráficas que más fallan y l...
- China prepara una avalancha de chips para intelige...
- Google presenta una herramienta para detectar imág...
- Toyota ha parado su producción en Japón. En solo u...
- Skyhook: una herramienta para exfiltrar informació...
- La ciberseguridad, el sector con menos desempleo: ...
- Nvidia duplica sus ingresos anuales gracias a la v...
- Ya disponible Kali Linux 2023.3 con nuevas herrami...
- Microsoft Excel integra Python en las hojas de cál...
- Las bombillas inteligentes TP-Link Tapo pueden exp...
- Firefox ya permite importar extensiones de Google ...
- Google Chrome avisará de las extensiones que hayan...
- App Mensajes de Android permitirá pedir ayuda por ...
- Anonfiles, el servicio de intercambio de archivos ...
- Demandan a Western Digital por los graves problema...
- Rusia multa a Google con 32.000 dólares por videos...
- Algunas impresoras 3D empezaron a imprimir de madr...
- Elon Musk quiere eliminar la opción de bloquear cu...
- EE. UU. asegura que Rusia y China quieren espiar a...
- La inteligencia artificial ha producido más imágen...
- Debian cumple 30 años
- YouTube eliminará el contenido médico que contradi...
- La guerra entre Rusia y Ucrania también se libra e...
- Qué es Tiny10 y cómo descargarlo e instalarlo en t...
- Escáner de síntomas de compromiso en Citrix NetSca...
- Robo de credenciales RDP (Escritorio Remoto) con R...
- Apple indemnizará por ralentizar el iPhone
- Google usará la IA generativa para resumir artícul...
- Impresoras HP se niegan a escanear si no hay tinta...
- Trucos básicos parar alargar la batería del móvil ...
- Amazon, contra el teletrabajo, rastrea sin avisar ...
- Twitter ralentiza el tráfico a sitios web que no l...
- Nuevo ataque «MaginotDNS» compromete la seguridad ...
- Microsoft Edge va a empezar a guardar capturas de ...
- Cómo usar Privatezilla para mejorar la privacidad ...
- ASUS presenta la placa SBC: Tinker Board 3N
- Curiosidades sobre Linus Torvalds, el creador de L...
- Hackeo del servidor Exchange de la Comisión Electo...
- EvilProxy: ataque de phishing que esquiva el 2FA
- China quiere restringir el reconocimiento facial p...
- Linux tiene problemas de «stuttering» sobre AMD y ...
- Vulnerabilidades importantes en Zoom
- Tesla Hardware 4 cuenta con la mitad de RAM y de a...
- Principales vulnerabilidades explotadas en 2022
- La banda de ransomware Cl0p ahora utiliza Torrents...
- Tinder usará inteligencia artificial para decirte ...
- Sistemas de seguridad en Android
- Irak bloquea Telegram por motivos de seguridad nac...
- Google te avisará si tus datos personales aparecen...
- LinkPreview, la nueva función experimental de Chro...
- Apple insinúa que los iPhones no tendrán baterías ...
- Robo de cuentas comerciales de Facebook con NodeSt...
- Así es WeChat, la app china “para todo” que inspir...
- EmulationStation Desktop Edition: emulación de vid...
- AMD anuncia el procesador Ryzen 9 7945HX3D, su pri...
- La nueva función de Gmail para protegerte contra l...
- Abyss Locker: ransomware orientado a ESXi de VMware
- Elon Musk amenaza con demandar a investigadores qu...
- Más de 100 detenidos en Madrid y Barcelona por est...
- Estados Unidos en busca de malware chino que afect...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Abyss Locker: ransomware orientado a ESXi de VMware
A medida que las empresas cambian de servidores individuales a máquinas virtuales para una mejor gestión de recursos, rendimiento y recuperación ante desastres, las pandillas de ransomware crean ransomware enfocados en esa plataforma. La operación Abyss Locker es la última en desarrollar un cifrador de Linux para apuntar a la plataforma de máquinas virtuales ESXi de VMware en ataques a la empresa.
Just business, nothing personal
Otras operaciones de ransomware que utilizan cifradores de ransomware de Linux, la mayoría dirigidas a VMware ESXi, incluyen Akira, Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, y Hive.
Abyss Locker es una operación de ransomware relativamente nueva que se cree que se lanzó en marzo de 2023, cuando comenzó a atacar a empresas. Al igual que otras operaciones de ransomware, los actores de amenazas de Abyss Locker violan las redes corporativas, roban datos para doble extorsión y cifran dispositivos en la red.
Los datos robados luego se utilizan como palanca al amenazar con filtrar archivos si no se paga un rescate. Para filtrar los archivos robados, los actores de amenazas crearon un sitio de fuga de datos TOR llamado 'Abyss-data' que actualmente enumera catorce víctimas.
Los actores de amenazas afirman haber robado entre 35 GB de datos de una empresa y hasta 700 GB en otra.
Orientación a servidores VMware ESXi
Esta semana, el investigador de seguridad MalwareHunterTeam encontró un cifrador ELF de Linux para la operación Abyss Locker y lo compartió con BleepingComputer para su análisis.
Después de mirar las cadenas en el ejecutable, está claro que el cifrador
apunta específicamente a los servidores VMware ESXi. Como puede ver en los
comandos a continuación, el cifrador utiliza la herramienta de administración
VMware ESXi de línea de comandos esxcli
para enumerar primero
todas las máquinas virtuales disponibles y luego terminarlas.
esxcli vm process list
esxcli vm process kill -t=soft -w=%d
esxcli vm process kill -t=hard -w=%d
esxcli vm process kill -t=force -w=%d
Al apagar las máquinas virtuales, Abyss Locker utilizará el comando
vm process kill
y una de las opciones
soft, hard, or forced .
La opción "soft" realiza un apagado correcto, la opción "hard" finaliza una máquina virtual de inmediato y la fuerza se usa como último recurso.
El cifrador finaliza todas las máquinas virtuales para permitir que los discos virtuales, las instantáneas y los metadatos asociados se cifren correctamente mediante el cifrado de todos los archivos con las siguientes extensiones: .vmdk (discos virtuales), .vmsd (metadatos) y .vmsn (instantáneas).
Además de apuntar a las máquinas virtuales, el ransomware también cifrará todos los demás archivos en el dispositivo y agregará la extensión .crypt a sus nombres de archivo, como se muestra a continuación.
Para cada archivo, el cifrador también creará un archivo con una extensión .README_TO_RESTORE, que actúa como la nota de rescate. Esta nota de rescate contiene información sobre lo que sucedió con los archivos y un enlace único al sitio de negociación TOR del actor de amenazas. Este sitio es básico, solo tiene un panel de chat que se puede usar para negociar con la banda de ransomware.
El experto en ransomware Michael Gillespie dijo que el cifrador Abyss Locker Linux se basa en Hello Kitty, y en su lugar usa cifrado ChaCha. Sin embargo, no se sabe si se trata de un cambio de marca de la operación HelloKitty o si otra operación de ransomware obtuvo acceso al código fuente del cifrador, como vimos con Vice Society.
Desafortunadamente, HelloKitty ha sido históricamente un ransomware seguro que impide la recuperación de archivos de forma gratuita.
Fuentes:
Vía:
https://blog.segu-info.com.ar/2023/07/abyss-locker-ransomware-orientado-esxi.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.