Royal ransomware tanulmány
A SecurityScorecard kiadott egy tanulmányt a Royal kártékony kódról, ami hatékonyan kihasználta a VMWare ESXi szervereket. A fájlok titkosítása AES algoritmussal történik, a kulcs titkosítása pedig a futtatható fájlba keményen kódolt RSA nyilvános kulcs segítségével történik. A folyamat részben titkosíthat egy fájlt, annak méretétől és a “-ep” paraméter értékétől függően. A titkosított fájlok kiterjesztése kiterjesztése “.royal_u”-ra módosul.
Február elején az amerikai az európai számítógépes vészhelyzeti reagálási csapatok (CERT-ek) elkezdtek figyelmeztetni egy széles körben elterjedt zsarolóprogram-kampányra, amely a CVE-2021-21974 azonsítójú, a VMWare ESXi sérülékenységet használja ki, amelyhez 2021 februárja óta elérhető javítás.
A sérülékenység miatt az OVH francia felhőszolgáltató ezt a tevékenységet a nevadai ransomware csoporthoz kapcsolta, de később visszavonta ezt a hozzárendelést. A kiberbiztonsági közösség ehelyett ESXiArgs néven követte nyomon a kampányt, mivel az érintett ransomware egy .args kiterjesztésű fájlt hoz létre, miután titkosította a fájlt.