Virtuális gépekre is lecsap az Abyss Locker vírus

​Rávetette magát a VMware ESXi alapú kiszolgálókra az Abyss Locker nevű zsarolóprogram, amely komplett virtuális gépeket tesz tönkre, miközben adatokat is szivárogtat.
 

Az Abyss Locker egy viszonylag új zsarolóvírus, hiszen az első változatára idén márciusban figyeltek fel a biztonsági kutatók. Azóta a kártékony program elkezdte követni a riválisait, hiszen az újabb variánsai már nem kizárólag a Windows-os számítógépeket veszélyeztetik, hanem a Linuxra épülő rendszereket is. Ugyanakkor a készítői még ennyivel sem érték be, és - számos egyéb, Linux kompatibilis zsarolóvírushoz hasonlóan - a saját szerzeményüket is felkészítették a VMware ESXi kiszolgálók ostromlására. Vagyis e tekintetben is követték azt a trendet, miszerint a linuxos ransomware programok közül sok alkalmassá vált a virtuális környezetekben történő károkozásokra is.
 
A szóban forgó zsarolóvírus elsősorban célzott támadásokban vesz részt, amelyek leginkább vállalatok, intézmények ellen irányulnak. Amennyiben a legújabb variánsának sikerül feljutnia egy VMware ESXi szerverre, akkor lekérdezi az elérhető virtuális gépeket, amelyeket sorban leállít. Ehhez semmi különösebb trükköt nem használ, mindössze esxcli parancsokat futtat le. Teszi mindezt azért, hogy a titkosítás előtt feloldja az érzékeny fájlok zárolását, és a .vmdk (virtual disk), a .vmsd (metadata), valamint a .vmsn (snapshot) állományokat is használhatatlanná tudja tenni.
 
A kompromittált fájlok nevét ".crypt" kiterjesztéssel egészíti ki, majd README_TO_RESTORE kiterjesztésű fájlok révén tájékoztatja az áldozatot arról, hogy mi is történt. Ebben a támadók nem nevesítik a követelt összeget, hanem kapcsolatfelvételi információkat közölnek.
 
Az Abyss Locker fontos jellemzője, hogy dupla zsarolásba is bevonható, vagyis adatszivárogtatástól sem riad vissza. A támadók az adatlopásaikkal összefüggésben létrehozott weboldalukon azt állították, hogy volt már olyan vállalat, amelytől 700 GB-nyi adatot tudtak meglovasítani.
 
Az Abyss Locker elleni védekezés szempontjából is lényeges a rendszeres biztonsági mentés, a szigorú hozzáférésszabályozás, valamint a VMware szerverek naprakészen tartása.