Señores RaaS atacando Windows, Linux con casillero adicional escrito en C para ESXi

Una nueva operación de ransomware como servicio (RaaS) conocida como “The Gentlemen” se ha convertido en una grave amenaza para las redes corporativas de todo el mundo. La velocidad a la que este grupo se expandió apunta a un fuerte reclutamiento de afiliados y un equipo de liderazgo técnicamente capaz.

Lo que distingue a The Gentlemen es su amplia gama de herramientas de ransomware diseñadas para atacar múltiples sistemas operativos a la vez. El grupo ofrece casilleros escritos en el lenguaje de programación Go que funcionan en entornos Windows, Linux, NAS y BSD, junto con un casillero separado escrito en C diseñado específicamente para apuntar a hipervisores VMware ESXi. The Gentlemen RaaS X – Cuenta de Twitter (Fuente – Check Point) Los analistas de Check Point Research identificaron el malware durante un compromiso activo de respuesta a incidentes, donde un afiliado implementó SystemBC, un malware proxy, en un host comprometido. Antes de ejecutar el casillero en cada objetivo, el atacante desactiva Windows Defender, agrega exclusiones de rutas amplias para toda la unidad C:, apaga el firewall y vuelve a habilitar SMB1.

El casillero ESXi apaga primero todas las máquinas virtuales, liberando los bloqueos en los archivos del disco virtual antes de que comience el cifrado. La publicación Caballeros RaaS atacando Windows y Linux con un casillero adicional escrito en C para ESXi apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗