BeastWasHere

Linux ELF-Ransomware, die auf VMware ESXi-Hypervisor-Umgebungen abzielt. Verschlüsselt .vmdk-, .vmem-, .vmsd-, .vmsn-, .vmss- und .vmxf-Dateien mit dem ChaCha20-Passwort. Vim-cmd ruft mit vmsvc/getallvms eine Liste der VMs ab, fährt sie herunter und verschlüsselt sie. Signatur der BEASTWASHERE-Datei. Daemon-Modus, teilweise Verschlüsselung, Unterstützung für externe Lösegeldforderungen.

Bedrohungsprofil
Typ Ransomware
ProgrammierspracheC++
C2-Protokollcustom
Erstmals gesehen2024
Ziele VMware ESXi Hypervisorlar
Zweck / Fähigkeiten
  • ESXi-VM-Verschlüsselung
Für diese Familie wurden noch keine C2-Server identifiziert.

Forschungsberichte (1)

Kritisch

BeastWasHere ESXi Ransomware 66f86812 -- ELF-32bit-Linux ChaCha20-encryption vim-cmd-vmsvc-getallvms VMDK-VMEM-VMXF BEASTWASHERE-marker beast-log default-key daemon-mode partial-encryption | Kritik

BeastWasHere ESXi Ransomware 66f86812 ELF32 89KB. vim-cmd vmsvc/getallvms ile ESXi VM otomasyonu. .vmdk/.vmem/.vmsd/.vmsn/.vmss/.vmxf sifreleme. BEASTWASHERE imzasi. ChaCha20. beast.log. Daemon modu.

Bericht lesen →