La version Linux du ransomware AvosLocker cible les serveurs VMware ESXi

Linux version of AvosLocker ransomware targets VMware ESXi servers

AvosLocker est le dernier gang de ransomware qui a ajouté la prise en charge du chiffrement des systèmes Linux à ses récentes variantes de logiciels malveillants, ciblant spécifiquement les machines virtuelles VMware ESXi.

Bien que nous n’ayons pas pu trouver les cibles ciblées à l’aide de cette variante Linux du ransomware AvosLocker, EZpublish-france.fr connaît au moins une victime qui a été touchée par une demande de rançon d’un million de dollars.

Il y a plusieurs mois, le gang AvosLocker a été vu faisant la publicité de ses dernières variantes de ransomware, Windows Avos2 et AvosLinux, tout en interdisant aux affiliés d’attaquer des cibles post-soviétiques/CEI.

« Nos nouvelles variantes (avos2 / avoslinux) ont le meilleur des deux mondes à offrir : des performances élevées et un chiffrement élevé par rapport à ses concurrents », le gang mentionné.

Machines virtuelles ESXi terminées avant le chiffrement

Une fois lancé sur un système Linux, AvosLocker arrêtera toutes les machines ESXi sur le serveur à l’aide de la commande suivante :

esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'

Une fois qu’il commence à fonctionner sur un système compromis, le ransomware ajoute l’extension .avoslinux à tous les fichiers cryptés.

Il laisse également tomber des notes de rançon demandant aux victimes de ne pas éteindre leurs ordinateurs pour éviter la corruption de fichiers et de visiter un site d’oignons pour plus de détails sur la façon de payer la rançon.

Variante Linux AvosLocker

Le passage du ransomware à Linux

AvosLocker est un gang plus récent qui a fait surface pour la première fois au cours de l’été 2021, appelant les affiliés de ransomware sur des forums clandestins à rejoindre leur nouvelle opération Ransomware-as-a-Service (RaaS).

Le passage aux machines virtuelles ESXi cibles s’aligne sur leurs cibles d’entreprise, qui ont récemment migré vers des machines virtuelles pour une gestion plus facile des appareils et une utilisation plus efficace des ressources.

En ciblant les machines virtuelles, les opérateurs de ransomware profitent également d’un cryptage plus simple et plus rapide de plusieurs serveurs avec une seule commande.

Depuis octobre, le ransomware Hive a commencé à chiffrer les systèmes Linux et FreeBSD à l’aide de nouvelles variantes de logiciels malveillants, quelques mois après que les chercheurs ont repéré un chiffreur Linux du ransomware REvil ciblant les machines virtuelles VMware ESXi.

CTO d’Emsisoft Fabien Wosar a déclaré à EZpublish-france.fr que d’autres gangs de ransomware, notamment Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide et Hellokitty, avaient également créé et utilisé leurs propres chiffreurs Linux.

« La raison pour laquelle la plupart des groupes de ransomware ont mis en œuvre une version Linux de leur ransomware est de cibler spécifiquement ESXi », a expliqué Wosar.

Des variantes Linux du ransomware HelloKitty et BlackMatter ont également été découvertes dans la nature par des chercheurs en sécurité en juillet et août, confirmant ainsi la déclaration de Wosar. Les opérations de ransomware Snatch et PureLocker ont également été observées à l’aide de chiffreurs Linux dans le passé.

Vous pouvez trouver plus d’informations sur le ransomware AvosLocker et ce qu’il faut faire si vous êtes touché par cette famille de ransomware dans notre rubrique d’assistance.