Derin Analiz - BeastWasHere ESXi Ransomware | Tehdit: KRITIK

Dosya Kimligi

SHA25666f86812a6593cdd760cd2119f8bf1a76f33a1b56ab099edc02de7b0629ea15d
Boyut89,600 byte ELF 32-bit Linux/VMware ESXi binary
HedefVMware ESXi hypervisor ortamlari
SifreleChaCha20 akis sifresi

ESXi VM Sifrelemesi

KRITIK: VMware ESXi sanal makinelerini otomatik kapatip sifreleyen ransomware!
ESXi automasyonu:\n  vim-cmd vmsvc/getallvms 2>&1   <- tum VM listesini al\n  Vmid %s: shutdown              <- VM kapat\n  Vmid %s -                      <- VM listele\n\nSifrelenen dosya uzantilari:\n  .vmdk  <- sanal disk (ana veri)\n  .vmem  <- VM bellek snapshot\n  .vmsd  <- snapshot metadata\n  .vmsn  <- snapshot dosyasi\n  .vmss  <- askiya alinmis VM durumu\n  .vmxf  <- VM konfigurasyon ek

Ransomware Kimligi - BEASTWASHERE

Sifrelenmis dosyalara eklenen imza:\n  BEASTWASHERE   <- dosya imzasi/uzantisi\n\nLog dosyasi: beast.log\nVarsayilan anahtar: default.key\nRastgelestirme: /dev/urandom\nSifrele: ChaCha20 (chacha20/chacha20.cpp gomiilmus)\n\nOrnek kullanim:\n  ./encrypter -e -i=999,666 -z- -c+ -w+ -p=5 -e="BEASTWASHERE" -x="README.TXT" /FOLDER

Komut Satiri Parametreleri

-e, --esxi              <- ESXi otomatik islem modu\n-e="newextension"       <- ozel uzanti adi\n-p=1..100               <- sifreleme yuzdesi (kismi sifreleme)\n-i=id,id1,id2,...       <- belirli VM ID listesi\n-x="externalnote.txt"   <- dis ransom notu dosyasi\n-w+                     <- her klasore ransom notu yaz\n-d, --daemon            <- arka planda daemon olarak calis\n--log                   <- daemon modunda loglama\n\nENCRYPTER: DAEMON modu => hizmet olarak calisma kapasitesi

IOC

SHA25666f86812a6593cdd760cd2119f8bf1a76f33a1b56ab099edc02de7b0629ea15d
PlatformELF 32-bit Linux (VMware ESXi)
ImzaBEASTWASHERE
Logbeast.log
Anahtardefault.key
SifrelemeChaCha20
VM APIvim-cmd vmsvc/getallvms

BeastWasHere — Malware Profile

VMware ESXi hypervisor ortamlarini hedef alan Linux ELF ransomware. ChaCha20 sifresiyle .vmdk, .vmem, .vmsd, .vmsn, .vmss, .vmxf dosyalarini sifreler. vim-cmd vmsvc/getallvms ile VM listesi alir, kapatir ve sifreler. BEASTWASHERE dosya imzasi. Daemon modu, kismi sifreleme, dis ransom notu destegi.

Malware Type
Ransomware
Programming Language
C++
C2 Protocol
custom
Target Systems
VMware ESXi Hypervisorlar

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — BeastWasHere
# SHA256 66f86812a6593cdd760cd2119f8bf1a76f33a1b56ab099edc02de7b0629ea15d
TypeValueNote
sha256 66f86812a6593cdd760cd2119f8bf1a76f33a1b56ab099edc02de7b0629ea15d
Tags
beastwashere-esxi-ransomware-elf-linuxchacha20-stream-cipher-encryptionvim-cmd-vmsvc-getallvms-esxi-apivmdk-vmem-vmsd-vmsn-vmss-vmxf-encryptionbeastwashere-file-marker-signaturebeast-log-ransomware-log-filedefault-key-encryption-keydev-urandom-randomnessdaemon-mode-background-servicepartial-encryption-p-percentexternal-ransom-note-fileesxi-vm-auto-shutdownesxi-hypervisor-ransomware-attack