Manuel Statik Analiz — ESXi Ransomware | Tehdit: KRITIK

Dosya Kimliği

SHA25666f86812a6593cddb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Boyut89.600 byte (89KB, minimal ESXi payload)
String Sayisi276 (çok yoğun)

VMware ESXi Komutu

Kritik IOC: VMware ESXi hypervisor'u hedef alan özelleştirilmiş komut!
vim-cmd vmsvc/getallvm    -- ESXi üzerindeki TÜM VM'leri listele!
run 'vim-cmd vmsvc/getallvm' on ESXi-host to get vmids
-- ESXi binary (vim-cmd) ile sanal makine ID'lerini keşfetme
-- Tüm VM'leri keşfet → şifrele → fidye

ESXi Ransomware Saldırı Trendi

ESXi ransomware, tek bir hypervisor makinesini şifreleyerek tüm sanal makineyi durdurma stratejisiyle 2022'den beri artmaktadır. ALPHV/BlackCat, LockBit 3.0, Akira ve BabukLocker'ın türevleri ESXi'yi hedefleyen Linux ELF versiyonları yayımlamıştır. ESXi'nin "vim-cmd" aracı root yetkisiyle sanal makinelere erişim ve yönetim sağlar — saldırganlar bu aracı tüm VM'leri keşfetmek ve durdurmak için kullanır.

IOC

SHA25666f86812a6593cddb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Komutvim-cmd vmsvc/getallvm
HedefVMware ESXi Hypervisor

IOC Listesi (1 gösterge)

IOC — BeastRAT
# SHA256 66f86812a6593cddb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
TürDeğerNot
sha256 66f86812a6593cddb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Etiketler
esxi-ransomwarevmwarevspherevim-cmdhypervisorvirtualization