Geçtiğimiz günlerde fidye yazılım dünyasına giren BlackMatter çetesinin ilk hedefi ortaya çıktı.
DarkSide ve REvil gibi büyük operasyonlar düzenleyen fidye yazılım çetelerinin bir süredir sessiz kalmasının ardından yakın zamanda ortaya çıkan ve “DarkSide ile REvil’in en iyi özelliklerini taşıdığını” iddia eden BlackMatter çetesinin, özel olarak VMware’in ESXi sunucularını hedefleyen Linux tabanlı şifreleyicisi keşfedildi.
Kolay Erişim
YALNIZCA VMware ESXI SUNUCULARINA ÖZEL TASARLANMIŞ
BlackMatter çetesinin ELF64 biçiminde bulunan şifreleyicisi, özel olarak VMware ESXi sunucularını hedeflemek için tasarlandığı belirtiliyor. Bunun sebebiyse Linux tabanlı şifreleyicinin içerisinde ESXi sunucuları için düzenlenmiş birçok komut barındırması.
Bazı komutlar güvenlik duvarıyla ilgiliyken bazı komutlar sunucuları durdurmak ve kapatmakla ilgili olduğu belirtiliyor.
ESXi sunucularını hedefleyen hemen hemen tüm fidye yazılımları, sürücüleri şifrelemeden önce sanal makineleri kapatmayı hedefliyor. Bunun nedeniyse veriler şifrelenirken herhangi bir bozulma olmasına engel olmak.
NEDEN SANAL MAKİNELER?
Sanal makinelerin giderek popülerleşmesi, kurumsal hedefleri olan siber tehdit aktörlerinin bu alanı kendilerine öncelikli hedef olarak seçmesine neden oluyor.
Bunun yanı sıra birçok sunucunun tek bir komutla şifrelenmeye müsait olması da fidye yazılım çetelerinin iştahını kabartıyor.
REvil, HelloKitty, Babuk, RansomExx/Defray, Mespinoza, GoGoogle gibi diğer fidye yazılım çetelerinin de bu amaç doğrultusunda Linux şifreleyicilerinin olduğu biliniyor.