Manuel Statik Analiz — ESXi Ransomware | Tehdit: KRITIK
Fichier Kimliği
| SHA256 | 66f86812a6593cddb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4 |
|---|---|
| Taille | 89.600 byte (89KB, minimal ESXi payload) |
| String Sayisi | 276 (çok yoğun) |
VMware ESXi Komutu
Kritik IOC: VMware ESXi hypervisor'u hedef alan özelleştirilmiş komut!
vim-cmd vmsvc/getallvm -- ESXi üzerindeki TÜM VM'leri listele! run 'vim-cmd vmsvc/getallvm' on ESXi-host to get vmids -- ESXi binary (vim-cmd) ile sanal makine ID'lerini keşfetme -- Tüm VM'leri keşfet → şifrele → fidye
ESXi Ransomware Saldırı Trendi
ESXi ransomware, tek bir hypervisor makinesini şifreleyerek tüm sanal makineyi durdurma stratejisiyle 2022'den beri artmaktadır. ALPHV/BlackCat, LockBit 3.0, Akira ve BabukLocker'ın türevleri ESXi'yi hedefleyen Linux ELF versiyonları yayımlamıştır. ESXi'nin "vim-cmd" aracı root yetkisiyle sanal makinelere erişim ve yönetim sağlar — saldırganlar bu aracı tüm VM'leri keşfetmek ve durdurmak için kullanır.
IOC
| SHA256 | 66f86812a6593cddb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4 |
|---|---|
| Komut | vim-cmd vmsvc/getallvm |
| Hedef | VMware ESXi Hypervisor |
Liste IOC (1 indicateurs)
IOC — BeastRAT
# SHA256
66f86812a6593cddb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
| Type | Valeur | Note |
|---|---|---|
| sha256 | 66f86812a6593cddb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4 |