<div dir="ltr"><a href="https://www.bleepingcomputer.com/news/security/linux-version-of-blackmatter-ransomware-targets-vmware-esxi-servers/">https://www.bleepingcomputer.com/news/security/linux-version-of-blackmatter-ransomware-targets-vmware-esxi-servers/</a><br><div><br></div><div>The BlackMatter gang has joined the ranks of ransomware operations to develop a Linux encryptor that targets VMware's ESXi virtual machine platform.<br><br>The enterprise is increasingly moving to virtual machines for their servers for better resource management and disaster recovery.<br><br>With VMware ESXi being the most popular virtual machine platform, almost every enterprise-targeting ransomware operation has begun to release encryptors that specifically target its virtual machines.<br><br>BlackMatter targets VMware ESXi</div><div><br>Yesterday, security researcher MalwareHunterTeam found a Linux ELF64 encryptor [VirusTotal] for the BlackMatter ransomware gang that specifically targets VMware ESXi servers based on its functionality.<br><br>BlackMatter is a relatively new ransomware operation that started last month and is believed to be a rebrand of DarkSide. After researchers found samples, it was determined that the encryption routines used by the ransomware were the same custom and unique ones used by DarkSide.<br><br>DarkSide shut down after attacking and shutting down Colonial Pipeline and then feeling the total pressure of international enforcement and the US government.<br><br>>From the sample BlackMatter's Linux encryptor shared with BleepingComputer, it is clear that it was designed solely to target VMWare ESXi servers.<br><br>Advanced Intel's Vitali Kremez reverse engineered the sample and told BleepingComputer that the threat actors created an 'esxi_utils' library that is used to perform various operations on VMware ESXi servers<br><br>/sbin/esxcli<br>bool app::esxi_utils::get_domain_name(std::vector >&)<br>bool app::esxi_utils::get_running_vms(std::vector >&)<br>bool app::esxi_utils::get_process_list(std::vector >&)<br>bool app::esxi_utils::get_os_version(std::vector >&)<br>bool app::esxi_utils::get_storage_list(std::vector >&)<br>std::string app::esxi_utils::get_machine_uuid()<br>bool app::esxi_utils::stop_firewall()<br>bool app::esxi_utils::stop_vm(const string&)</div><div><br>Kremez told us that each function would execute a different command using the esxcli command-line management tool, such as listing VMs, stopping the firewall, stopping a VM, and more.<br><br>For example, stop_firewall() function will execute the following command:<br><br>esxcli network firewall  set --enabled false</div><div><br>While the stop_vm() will execute the following esxcli command:<br><br>esxcli vm process kill --type=force --world-id [ID]</div><div><br>All ransomware that targets ESXi servers attempts to shut down virtual machines before encrypting the drives. This is done to prevent data from being corrupted while it is encrypted.<br><br>Once all the VMs are shut down, it will encrypt files that match specific file extensions based on the configuration included with the ransomware.<br><br>Targeting ESXi servers is very efficient when conducting ransomware attacks, as it allows the threat actors to encrypt numerous servers at once with a single command.<br><br>As more businesses move to this type of platform for their servers, we will continue to see ransomware developers focus primarily on Windows machines but also create a dedicated Linux encrypted targeting ESXi.<br><br>Emsisoft CTO Fabian Wosar told BleepingComputer that other ransomware operations, such as REvil, HelloKitty, Babuk, RansomExx/Defray, Mespinoza, GoGoogle, have also created Linux encryptors for this purpose.<br></div></div>