Analyse: Linux- und ESXi-Varianten der LockBit-Ransomware

Sicherheit (Pexels, allgemeine Nutzung)[English]Die Forscher von Trend Micro Research haben das Thema LockBit-Ransomware in einer Analyse aufgegriffen. Denn diese Ransomware bedroht inzwischen nicht mehr nur Windows-Systeme. Es gibt bereits Samples, die auch Linux- (ESXi Linux) und VMware ESXi-Instanzen befallen können.

Die Hintermänner der LockBit-Ransomware haben im Oktober 2021 auch Varianten für Linux-Systeme und für VMware ESXi-Umgebungen für ihre „Kundschaft“ angekündigt. Das zeigt, dass die Cyberkriminellen auf ein breites Anwendungsfeld abzielen. Inzwischen wurden entsprechende Samples dieser Schadsoftware in freier Wildbahn gefunden.

Lockbit Ransomware for Linux/ESXi

In obigem Tweet weisen die Trend Micro-Sicherheitsforscher auf die Implikationen dieser Entwicklung hin. Die Forscher haben das Ganze analysiert und in diesem Blog-Beitrag veröffentlicht. Die Lockbit Linux-ESXi Locker Version 1.0 verwendet beispielsweise eine Kombination aus Advanced Encryption Standard (AES) und Elliptic-Curve Cryptography (ECC) Algorithmen zur Datenverschlüsselung. Diese Version der Ransomware verfügt über Protokollierungsfunktionen und kann die folgenden Informationen aufzeichnen:

  • Informationen über den Prozessor
  • Volumes im System
  • Virtuelle Maschinen (VMs) zum Infizieren
  • Dateien insgesamt
  • VMs insgesamt
  • Verschlüsselte Dateien
  • Verschlüsselte VMs
  • Verschlüsselte Gesamtgröße
  • Zeitaufwand für die Verschlüsselung

Diese Variante enthält auch Befehle, die zum Verschlüsseln von VM-Images auf ESXi-Servern erforderlich sind (Details in der Analyse). ESXi bietet Unternehmen eine einfachere Möglichkeit, ihre Server zu verwalten. Das lockt auch Ransomware-Gruppen auf den Plan.

Die Veröffentlichung dieser Variante zeigt die Bemühungen moderner Ransomware-Gruppen, Linux-Hosts wie ESXi-Server ins Visier zu nehmen und zu verschlüsseln. Ein ESXi-Server hostet in der Regel mehrere virtuelle Maschinen, die wiederum wichtige Daten oder Dienste für ein Unternehmen enthalten. Die erfolgreiche Verschlüsselung von ESXi-Servern durch Ransomware könnte daher große Auswirkungen auf die betroffenen Unternehmen haben. Dieser Trend wurde von Ransomware-Familien wie REvil und DarkSide vorangetrieben. Jetzt ist also auch LockBit in der Lage, ESXi Linux-Hosts im Allgemeinen und die ESXi-Plattform im Besonderen anzugreifen.

Dieser Beitrag wurde unter Sicherheit, Virtualisierung abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Analyse: Linux- und ESXi-Varianten der LockBit-Ransomware

  1. Stefan Tjarks sagt:

    Moin,
    danke für die gesammelten Infos.
    Gibt es schon Informationen, welche ESXI Versionen besonders gefährdet sind, bzw. auf welchen Patchstand die Hosts aufweisen sollten?

    • Hiob sagt:

      „Gibt es schon Informationen, welche ESXI Versionen besonders gefährdet sind, bzw. auf welchen Patchstand die Hosts aufweisen sollten?“

      Den aktuellen.

  2. mw sagt:

    Es ist doch völlig egal, wie Ransomware verschlüsselt. Zur Aufdeckung oder Prävention enthält dieser Blogartikel leider gar nichts. Schade, Information wäre nötig. Auch der zitierte Beitrag von TrendMicro enthält keine sinnvoller Information. Stattdessen wird dort massive Werbung für das Schlangenöl dieses Herstellers gemacht.

  3. Anonymous sagt:

    Der Artikel ist leider nicht sehr hilfreich – eine gerade ausgeführte Google-Suche mit den Suchbegriffen „LockBit ESXi“ führt zu gerade einmal 20.100 Ergebnissen, viele Referenzieren ebenfalls auf TrendMicro.
    Für mich hat das eher den Eindruck von Clickbait bzw. Werbung, zumal das Thema an sich auch nicht gerade neu ist, siehe z.B. https://blogs.vmware.com/networkvirtualization/2021/03/deconstructing-defray777.html/ (vom 11. März 2021) oder https://www.truesec.com/hub/blog/secure-your-vmware-esxi-hosts-against-ransomware (vom 13. April 2021)!

  4. Wil Ballerstedt sagt:

    „Mit Linux wär‘ das nicht passiert.“

    So schnell kann die Zeit vergehen. Jaaa, Linux allgemein steht hier erst am Anfang aber Windows auch, einst.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert