Derin Analiz - BeastWasHere ESXi Ransomware | Tehdit: KRITIK
Dosya Kimligi
| SHA256 | 66f86812a6593cdd760cd2119f8bf1a76f33a1b56ab099edc02de7b0629ea15d |
|---|---|
| Boyut | 89,600 byte ELF 32-bit Linux/VMware ESXi binary |
| Hedef | VMware ESXi hypervisor ortamlari |
| Sifrele | ChaCha20 akis sifresi |
ESXi VM Sifrelemesi
KRITIK: VMware ESXi sanal makinelerini otomatik kapatip sifreleyen ransomware!
ESXi automasyonu:\n vim-cmd vmsvc/getallvms 2>&1 <- tum VM listesini al\n Vmid %s: shutdown <- VM kapat\n Vmid %s - <- VM listele\n\nSifrelenen dosya uzantilari:\n .vmdk <- sanal disk (ana veri)\n .vmem <- VM bellek snapshot\n .vmsd <- snapshot metadata\n .vmsn <- snapshot dosyasi\n .vmss <- askiya alinmis VM durumu\n .vmxf <- VM konfigurasyon ek
Ransomware Kimligi - BEASTWASHERE
Sifrelenmis dosyalara eklenen imza:\n BEASTWASHERE <- dosya imzasi/uzantisi\n\nLog dosyasi: beast.log\nVarsayilan anahtar: default.key\nRastgelestirme: /dev/urandom\nSifrele: ChaCha20 (chacha20/chacha20.cpp gomiilmus)\n\nOrnek kullanim:\n ./encrypter -e -i=999,666 -z- -c+ -w+ -p=5 -e="BEASTWASHERE" -x="README.TXT" /FOLDER
Komut Satiri Parametreleri
-e, --esxi <- ESXi otomatik islem modu\n-e="newextension" <- ozel uzanti adi\n-p=1..100 <- sifreleme yuzdesi (kismi sifreleme)\n-i=id,id1,id2,... <- belirli VM ID listesi\n-x="externalnote.txt" <- dis ransom notu dosyasi\n-w+ <- her klasore ransom notu yaz\n-d, --daemon <- arka planda daemon olarak calis\n--log <- daemon modunda loglama\n\nENCRYPTER: DAEMON modu => hizmet olarak calisma kapasitesi
IOC
| SHA256 | 66f86812a6593cdd760cd2119f8bf1a76f33a1b56ab099edc02de7b0629ea15d |
|---|---|
| Platform | ELF 32-bit Linux (VMware ESXi) |
| Imza | BEASTWASHERE |
| Log | beast.log |
| Anahtar | default.key |
| Sifreleme | ChaCha20 |
| VM API | vim-cmd vmsvc/getallvms |
BeastWasHere — Malware Profile
VMware ESXi hypervisor ortamlarini hedef alan Linux ELF ransomware. ChaCha20 sifresiyle .vmdk, .vmem, .vmsd, .vmsn, .vmss, .vmxf dosyalarini sifreler. vim-cmd vmsvc/getallvms ile VM listesi alir, kapatir ve sifreler. BEASTWASHERE dosya imzasi. Daemon modu, kismi sifreleme, dis ransom notu destegi.
Malware Type
Ransomware
Programming Language
C++
C2 Protocol
custom
Target Systems
VMware ESXi Hypervisorlar
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — BeastWasHere
# SHA256
66f86812a6593cdd760cd2119f8bf1a76f33a1b56ab099edc02de7b0629ea15d
| Type | Value | Note |
|---|---|---|
| sha256 | 66f86812a6593cdd760cd2119f8bf1a76f33a1b56ab099edc02de7b0629ea15d |