Il panorama della sicurezza informatica è in costante evoluzione, e l’ultima minaccia emergente è il ransomware Qilin per Linux, che ora prende di mira i server VMware ESXi. Questo ransomware rappresenta una delle minacce più sofisticate e personalizzabili nel suo genere.
Focus su VMware ESXi
Qilin, noto per la sua capacità di infiltrarsi nelle reti aziendali, ha ora sviluppato una versione Linux specificamente progettata per attaccare i server VMware ESXi. Questa versione presenta caratteristiche uniche che la rendono particolarmente pericolosa:
- Criptazione mirata: Qilin è configurato per criptare macchine virtuali e cancellare i loro snapshot, colpendo direttamente le risorse critiche delle aziende.
- Personalizzazione avanzata: L’encryptor include numerosi argomenti da riga di comando che consentono una personalizzazione estesa delle opzioni di configurazione e del metodo di crittografia sui server.
- Comandi specifici per VMware ESXi: Se rileva VMware ESXi, Qilin esegue comandi specifici per ottimizzare le prestazioni durante l’esecuzione dei comandi ESXi sul server.
Metodologia e impatto
Prima di crittografare le macchine virtuali rilevate, Qilin termina tutte le VM e cancella i loro snapshot. Le richieste di riscatto variano da $25.000 a milioni di dollari, con biglietti di riscatto creati in ogni cartella crittografata.
Operazione e sviluppo
Lanciato inizialmente come “Agenda” nell’agosto 2022, Qilin si è poi rinominato in settembre, continuando a operare con questo nome. La sua metodologia di attacco include la violazione delle reti aziendali, il furto di dati e la diffusione laterale ad altri sistemi.
Attacchi Doppia Estorsione
I dati rubati e i file crittografati vengono utilizzati come leva negli attacchi di doppia estorsione per costringere un’azienda a pagare una richiesta di riscatto.
L’evoluzione del ransomware Qilin sottolinea la crescente sofisticatezza e la minaccia rappresentata dai ransomware, specialmente in ambienti Linux aziendali e infrastrutture critiche come i server VMware ESXi. La necessità di soluzioni di sicurezza robuste e aggiornate è più urgente che mai.