😈 Phiên bản Linux của Ransomware TargetCompany tập trung vào VMware ESXi | #TEKNews by TUNGTEK
Published by TUNGTEK Tùng 🌥️,
Dịch bởi Google Dịch.
Các nhà nghiên cứu đã định lượng đã tìm thấy một biến thể Linux mới của họ ransomware TargetCompany ngọc mục trong môi trường VMware ESXi bằng cách sử dụng tùy chỉnh shell tập lệnh để phân phối và thực thi tải.
Còn được gọi là Mallox, FARGO và Tohnichi, hoạt động ransomware TargetCompany xuất hiện vào tháng 6 năm 2021 và tập trung vào các cuộc tấn công cơ sở dữ liệu (MySQL, Oracle, SQL Server) nhắm vào các tổ chức chủ yếu ở Đài Loan, Hàn Quốc, Thái Lan và Ấn Độ.
Vào tháng 2 năm 2022, công ty chống vi-rút Avast đã thông báo về việc có sẵn một công cụ giải mã miễn phí bao gồm các biến thể có thể được phát hiện cho đến thời điểm đó. Tuy nhiên, đến tháng 9, băng nhóm này đã quay trở lại hoạt động thường xuyên vào các máy chủ Microsoft SQL dễ bị tấn công và đe dọa nhân sẽ rò rỉ dữ liệu bị đánh cắp qua Telegram.
New Linux Variables
Trong một báo cáo ngày hôm nay, công ty an ninh mạng Trend Micro đã cho biết phiên bản mới của phần mềm ransomware TargetCompany trên Linux có thể biến thể bằng cách đảm bảo rằng nó có các đặc quyền quản lý trước khi tiếp tục quy trình độc hại.
Để tải xuống và thực hiện tải ransomware quan trọng, kẻ tấn công sử dụng một tùy chỉnh lệnh cũng có thể lọc dữ liệu sang hai máy chủ riêng biệt, có khả năng dự phòng trong trường hợp máy kỹ thuật cố định hoặc nếu máy bị xâm phạm.
Tùy chọn shell command được sử dụng trong các cuộc tấn công mới nhất
Nguồn: Trend Micro
Khi ở trên hệ thống, tải trọng sẽ kiểm tra xem nó chạy trong môi trường VMware ESXi hay không bằng cách thực thi lệnh 'uname' và tìm kiếm 'vmkernel.'
Tiếp theo, tệp "TargetInfo.txt" được tạo và gửi đến máy chủ chỉ huy và điều khiển (C2). Nó chứa thông tin nhân vật như máy chủ tên, IP địa chỉ, chi tiết hệ thống điều hành, người dùng và đặc quyền đã đăng nhập, số nhận dạng duy nhất cũng như chi tiết về các tệp tệp và thư mục được mã hóa.
Phần mềm ransomware sẽ mã hóa các tệp có phần mở rộng liên quan đến VM (vmdk, vmem, vswp, vmx, vmsn, nvram), kết nối thêm phần mở rộng ".locked" vào kết quả kết quả tệp.
Cuối cùng, một thông báo Yêu tiền Thạc sĩ có tên "CÁCH DECRYPT.txt" đã được thả ra, chứa hướng dẫn cho nhân cách trả tiền Chế độ và lấy hợp lệ giải mã khóa.
Thông báo tiền công được loại bỏ bởi biến thể Linux
Nguồn: Trend Micro
Sau khi hoàn thành tất cả các tác vụ, shell lệnh sẽ xóa lệnh 'rm -f x' để tải xuống tất cả các dấu vết có thể được sử dụng trong quá trình điều tra sau khi cố gắng xóa các máy ảnh bị ảnh hưởng.
Chuỗi tấn công mới nhất của TargetCompany
Nguồn : Trend Micro
Nhà phân tích của Trend Micro đang tiến hành các cuộc tấn công phát triển biến thể Linux mới của ransomware TargetCompany cho một chi nhánh có tên là "ma cà rồng", có khả năng tương tự như một trong báo cáo của Sekoia vào tháng trước.
IP địa chỉ được sử dụng để phân phối tải trọng và chấp nhận bản văn bản có thông tin nạn nhân được tìm đến một nhà cung cấp ISP ở Trung Quốc. Tuy nhiên, điều này chưa đủ để xác định chính xác nguồn gốc của kẻ tấn công.
Thông thường, ransomware TargetCompany tập trung vào các máy Windows nhưng phát triển các biến thể của Linux và chuyển sang mã hóa các máy VMWare ESXi đã cho thấy sự phát triển của hoạt động này.
Báo cáo của Trend Micro bao gồm một loạt chủ đề được sản xuất như bật tính năng cao cấp yếu tố (MFA), tạo bản sao lưu và cập nhật hệ thống.
Nhà nghiên cứu cung cấp danh sách các cảnh báo về hiệp hiệp với hàm băm cho phiên bản ransomware Linux, tùy chỉnh shell tập lệnh và các mẫu liên kết đến liên kết 'ma cà rồng'.
Theo Bleepingcomputer
🟢 TUNGTEK - IT & Cloud Services 🌥️
➖➖➖➖➖
▪️ Địa chỉ: Centum Wealth A1.12A.09, Số 2A Phan Chu Trinh, P.Hiệp Phú, Tp.Thủ Đức.
▪️ IT Manage: Tùng Nguyễn 0963509115
▪️ Web: www.TUNGTEK.com
▪️ Zalo Chat: https://zalo.me/tungtek
▪️ Vietcombank STK : 0071005457280 | NGUYỄN THANH TÙNG | Chi nhánh Kỳ Đồng.
--- Sosial Post
😈 Phiên bản Linux của Ransomware TargetCompany tập trung vào VMware ESXi #TEKPost91
➖➖➖➖➖
▪️ Vậy là tổ chức tội phạm mạng TagetCompany mà đại diện tiêu biểu là Mallox, Fargo đã " ngó " tới VMWare ESXi. Có vẻ tổ chức này muốn gia tăng lợi nhuận khi tiền chuộc của các hệ thống được vận hành trên ESXi được cho là những công ty lớn và rất lớn.
▪️ Các lời khuyên trong bài viết của bleepingcomputer mà tôi " nhờ " Google dịch rất có ích cho các quản trị viên. Quan trọng, nó có được đọc và chú ý hay không mà thôi. ( link dưới còm )
🆃🆄🅽🅶🆃🅴🅺, 08.06.24
#TUNGTEK #NoRansomwareVN #Ransomware #RansomwareRecovery #TRecovery #Recovery #CuuDuLieu #KhoiPhucDuLieu #RepairDatabase #DatabaseRepair #VirusMaHoa #Database #DatabaseRecovery #CoSoDuLieu #MaHoa #VirusMaHoa #Mallox #ESXi #TagetCompany #TEKPost #TEKPost91 #TEKNews