BeastWasHere
Ransomware ELF de Linux dirigido a entornos de hipervisor VMware ESXi. Cifra archivos .vmdk, .vmem, .vmsd, .vmsn, .vmss, .vmxf con contraseña ChaCha20. vim-cmd obtiene una lista de máquinas virtuales con vmsvc/getallvms, las apaga y las cifra. Firma del archivo BEASTWASHERE. Modo demonio, cifrado parcial, soporte para notas de rescate externas.
Perfil de amenaza
Tipo
Ransomware
Lenguaje de programaciónC++
Protocolo C2custom
Primera detección2024
Objetivos
VMware ESXi Hypervisorlar
Propósito / Capacidades
- Cifrado de máquina virtual ESXi
Aún no se han identificado servidores C2 para esta familia.
Informes de investigación (1)
BeastWasHere ESXi Ransomware 66f86812 -- ELF-32bit-Linux ChaCha20-encryption vim-cmd-vmsvc-getallvms VMDK-VMEM-VMXF BEASTWASHERE-marker beast-log default-key daemon-mode partial-encryption | Kritik
BeastWasHere ESXi Ransomware 66f86812 ELF32 89KB. vim-cmd vmsvc/getallvms ile ESXi VM otomasyonu. .vmdk/.vmem/.vmsd/.vmsn/.vmss/.vmxf sifreleme. BEASTWASHERE imzasi. ChaCha20. beast.log. Daemon modu.
Leer informe →