Linux 版 BlackMatter 勒索软件以 VMware ESXi 服务器为目标

企业越来越多地将其服务器迁移到虚拟机，以实现更好的资源管理和灾难恢复。

随着 VMware ESXi 成为最受欢迎的虚拟机平台，几乎所有针对企业的勒索软件操作都开始发布专门针对其虚拟机的加密器。.

安全研究人员 MalwareHunterTeam为BlackMatter 勒索软件团伙 找到了一个 Linux ELF64 加密器 [ VirusTotal ]，  它根据其功能专门针对 VMware ESXi 服务器。

BlackMatter 是上个月开始的一项相对较新的勒索软件操作，据信是DarkSide的 品牌重塑。研究人员发现样本后，确定勒索软件使用的加密例程与 DarkSide 使用的自定义和独特的加密例程相同。

DarkSide 在攻击并关闭 Colonial Pipeline后 关闭 ，然后感受到国际执法和美国政府的全面压力。

从与 BleepingComputer 共享的 BlackMatter 的 Linux 加密器示例中，很明显它专为针对 VMWare ESXi 服务器而设计。

Advanced Intel 的Vitali Kremez 对该样本进行了逆向工程，并告诉 BleepingComputer，攻击者创建了一个“esxi_utils”库，用于在 VMware ESXi 服务器上执行各种操作

/sbin/esxcli
bool app::esxi_utils::get_domain_name(std::vector >&)
bool app::esxi_utils::get_running_vms(std::vector >&)
bool app::esxi_utils::get_process_list(std::vector >&)
bool app::esxi_utils::get_os_version(std::vector >&)
bool app::esxi_utils::get_storage_list(std::vector >&)
std::string app::esxi_utils::get_machine_uuid()
bool app::esxi_utils::stop_firewall()
bool app::esxi_utils::stop_vm(const string&)

Kremez 告诉我们，每个函数都会使用 esxcli 命令行管理工具执行不同的命令，例如列出 VM、停止防火墙、停止 VM 等。

例如，stop_firewall() 函数将执行以下命令：

esxcli network firewall  set --enabled false

而 stop_vm() 将执行以下 esxcli 命令：

esxcli vm process kill --type=force --world-id [ID]

所有针对 ESXi 服务器的勒索软件都会在加密驱动器之前尝试关闭虚拟机。这样做是为了防止数据在加密时被破坏。

一旦所有虚拟机都关闭，它将根据勒索软件中包含的配置对与特定文件扩展名匹配的文件进行加密。

在进行勒索软件攻击时，以 ESXi 服务器为目标是非常有效的，因为它允许威胁行为者使用单个命令一次加密多个服务器。

随着越来越多的企业将其服务器迁移到这种类型的平台，我们将继续看到勒索软件开发人员主要专注于 Windows 机器，但也会创建一个专门的 Linux 加密目标 ESXi。

Emsisoft 首席技术官 Fabian Wosar 告诉 BleepingComputer，其他勒索软件操作，如 REvil、  HelloKitty、Babuk、  RansomExx/Defray、Mespinoza、GoGoogle，也为此创建了 Linux 加密器。