{"id":261943,"date":"2022-01-25T07:55:31","date_gmt":"2022-01-25T06:55:31","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=261943"},"modified":"2022-01-27T09:26:00","modified_gmt":"2022-01-27T08:26:00","slug":"analyse-linux-und-esxi-varianten-der-lockbit-ransomware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/25\/analyse-linux-und-esxi-varianten-der-lockbit-ransomware\/","title":{"rendered":"Analyse: Linux- und ESXi-Varianten der LockBit-Ransomware"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[English]Die Forscher von Trend Micro Research haben das Thema LockBit-Ransomware in einer Analyse aufgegriffen. Denn diese Ransomware bedroht inzwischen nicht mehr nur Windows-Systeme. Es gibt bereits Samples, die auch Linux- (ESXi Linux) und VMware ESXi-Instanzen befallen k\u00f6nnen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/266042ae89be4029b9c9404d795e0f32\" alt=\"\" width=\"1\" height=\"1\" \/>Die Hinterm\u00e4nner der LockBit-Ransomware haben im Oktober 2021 auch Varianten f\u00fcr Linux-Systeme und f\u00fcr VMware ESXi-Umgebungen f\u00fcr ihre \"Kundschaft\" angek\u00fcndigt. Das zeigt, dass die Cyberkriminellen auf ein breites Anwendungsfeld abzielen. Inzwischen wurden entsprechende Samples dieser Schadsoftware in freier Wildbahn gefunden.<\/p>\n<p><a href=\"https:\/\/twitter.com\/TrendMicroRSRCH\/status\/1485817200623685633\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Lockbit Ransomware for Linux\/ESXi\" src=\"https:\/\/i.imgur.com\/bC7Ve8b.png\" alt=\"Lockbit Ransomware for Linux\/ESXi\" \/><\/a><\/p>\n<p>In obigem <a href=\"https:\/\/twitter.com\/TrendMicroRSRCH\/status\/1485817200623685633\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> weisen die Trend Micro-Sicherheitsforscher auf die Implikationen dieser Entwicklung hin. Die Forscher haben das Ganze analysiert und in <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/a\/analysis-and-Impact-of-lockbit-ransomwares-first-linux-and-vmware-esxi-variant.html\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> ver\u00f6ffentlicht. Die Lockbit Linux-ESXi Locker Version 1.0 verwendet beispielsweise eine Kombination aus Advanced Encryption Standard (AES) und Elliptic-Curve Cryptography (ECC) Algorithmen zur Datenverschl\u00fcsselung. Diese Version der Ransomware verf\u00fcgt \u00fcber Protokollierungsfunktionen und kann die folgenden Informationen aufzeichnen:<\/p>\n<ul>\n<li>Informationen \u00fcber den Prozessor<\/li>\n<li>Volumes im System<\/li>\n<li>Virtuelle Maschinen (VMs) zum Infizieren<\/li>\n<li>Dateien insgesamt<\/li>\n<li>VMs insgesamt<\/li>\n<li>Verschl\u00fcsselte Dateien<\/li>\n<li>Verschl\u00fcsselte VMs<\/li>\n<li>Verschl\u00fcsselte Gesamtgr\u00f6\u00dfe<\/li>\n<li>Zeitaufwand f\u00fcr die Verschl\u00fcsselung<\/li>\n<\/ul>\n<p>Diese Variante enth\u00e4lt auch Befehle, die zum Verschl\u00fcsseln von VM-Images auf ESXi-Servern erforderlich sind (Details in der Analyse). ESXi bietet Unternehmen eine einfachere M\u00f6glichkeit, ihre Server zu verwalten. Das lockt auch Ransomware-Gruppen auf den Plan.<\/p>\n<p>Die Ver\u00f6ffentlichung dieser Variante zeigt die Bem\u00fchungen moderner Ransomware-Gruppen, Linux-Hosts wie ESXi-Server ins Visier zu nehmen und zu verschl\u00fcsseln. Ein ESXi-Server hostet in der Regel mehrere virtuelle Maschinen, die wiederum wichtige Daten oder Dienste f\u00fcr ein Unternehmen enthalten. Die erfolgreiche Verschl\u00fcsselung von ESXi-Servern durch Ransomware k\u00f6nnte daher gro\u00dfe Auswirkungen auf die betroffenen Unternehmen haben. Dieser Trend wurde von Ransomware-Familien wie REvil und DarkSide vorangetrieben. Jetzt ist also auch LockBit in der Lage, ESXi Linux-Hosts im Allgemeinen und die ESXi-Plattform im Besonderen anzugreifen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die Forscher von Trend Micro Research haben das Thema LockBit-Ransomware in einer Analyse aufgegriffen. Denn diese Ransomware bedroht inzwischen nicht mehr nur Windows-Systeme. Es gibt bereits Samples, die auch Linux- (ESXi Linux) und VMware ESXi-Instanzen befallen k\u00f6nnen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,14],"tags":[4715,4328],"class_list":["post-261943","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virtualisierung","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261943","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=261943"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261943\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=261943"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=261943"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=261943"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}