به گفته برخی منابع، گردانندگان باج‌افزار BlackMatter با به‌کارگیری یک رمزگذار تحت Linux در حال آلوده‌سازی بسترهای مجازی VMware ESXi و رمزگذاری ماشین‌های مجازی آنها هستند.
به گزارش مرکز مدیریت راهبردی افتا، این در حالی است که سازمان‌ها به دلایلی همچون تسهیل و تسریع فرآیند تهیه نسخه پشتیبان، سادگی نگهداری، بهینه‌تر شدن استفاده از منابع سخت‌افزاری و مدیریت منابع بیش از هر زمانی به بسترهای مجازی روی آورده‌اند.
BlackMatter یک گروه باج‌افزاری نسبتاً جدید است که حملات آن از ماه گذشته آغاز شده است. گردانندگان این باج‌افزار روز ۳۰ تیر، در یکی از تالارهای گفتگوی اینترنتی هکرها، پیام‌هایی در خصوص خرید اطلاعات دسترسی شبکه‌های سازمانی منتشرکردند.
با بررسی پیام‌های مهاجمان و نحوه عملکرد آن‌ها به نظر می‌رسد که گردانندگان باج‌افزار BlackMatter  افرادی بسیار حرفه‌ای بوده‌اند و به‌احتمال زیاد باج‌افزار آن‌ها، بر پایه باج‌افزاری مطرح و سابقه‌دار توسعه داده شده است.
برخی محققان نیز معتقدند باج‌افزار BlackMatter محصول گروهی است که قبلاً با DarkSide و REvil همکاری داشته‌اند. پس از یافتن نمونه‌های این باج‌افزار توسط محققان، مشخص شد که روال‌ و روش رمزگذاری مورداستفاده در این باج‌افزار، همان شیوه منحصربه‌فرد مورداستفاده در DarkSide است. 
سال گذشته گزارش شد که گردانندگان باج‌افزار REvil، برای فرار از پیگردهای قانونی، نام خود به DarkSide تغییر داده اند. درعین‌حال ظهور DarkSide موجب افول REvil نشد و در این یک سال هر دوی آنها فعال ماندند. حمله DarkSide به خط لوله کولونیال و انتشار گسترده REvil با سوءاستفاده از یک آسیب‌پذیری روز – صفر در Kaseya VSA در ماه‌های گذشته یکبار دیگر حساسیت نهادهای قانونی به این جرایم سایبری را تشدید کرد؛ به‌نحوی‌که مدتی کوتاه پس از اجرای این حملات، سایت‌های پرداخت باج این دو باج‌افزار غیرفعال شدند. 
برخی منابع احتمال می‌دهند که این اتفاقات در نتیجه مذاکرات اخیر کاخ سفید با مسکو در مورد لزوم توقف حملات باج‌افزاری مهاجمان روسی به سازمان‌ها و زیرساخت‌های آمریکا رخ‌داده و فشار دولت روسیه عامل اصلی تعطیلی REvil و DarkSide بوده است. همه این‌ها در کنار وجود شباهت‌هایی دیگر سبب شده است که عده‌ای از کارشناسان امنیتی،BlackMatter  را نام جدید REvil و DarkSide بدانند.
به تازگی یک محقق امنیتی یک رمزگذار ELF۶۴ منتسب به گروه باج‌افزاری BlackMatter کشف کرده است که به طور خاص سرورهای VMware ESXi را هدف حملات خود قرار می‌دهد. VMware ESXi یکی از محبوب‌ترین بسترهای مجازی‌سازی است. تقریباً هر گروه معروف باج‌افزاری که به سازمان‌ها به‌صورت هدفمند حمله می‌کند، ساخت رمزگذارهای قابل‌اجرا بر روی ESXi را در دستور کار قرار داده است. به‌نحوی‌که در یک سال گذشته تعداد مهاجمانی که نسخه تحت Linux را از باج‌افزار خود برای هدف قراردادن این بسترعرضه کرده اند روندی صعودی داشته است.
ظهور نسخه Linux باج‌افزار BlackMatter و در نتیجه توانایی آن در رمزگذاری فایل‌های ESXi، دامنه تخریب آن را به‌شدت افزایش می‌دهد. اگرچه ESXi به دلیل استفاده از یک هسته سفارشی، تفاوت‌هایی با توزیع‌های متداول Linux دارد اما همان شباهت‌های موجود به‌ویژه قابلیت اجرای فایل‌های ELF۶۴، آن را به این‌گونه باج‌افزارها آسیب‌پذیرتر می‌کند.
تحقیقات نشان داده است که مهاجمان به‌منظور اجرای عملیات مختلف بر روی سرورهای VMware ESXi یک کتابخانه با نام esxi_utils را ایجاد می‌کنند. 

 باج‌افزار با بهره‌گیری از ابزار خط فرمان esxcli، فرمان‌های متفاوتی همچون استخراج فهرست ماشین‌های مجازی، توقف فایروال، توقف ماشین مجازی و موارد دیگر را اجرا می‌کند. 
پس از اینکه همه ماشین‌های مجازی متوقف می‌شوند، بر اساس پیکربندی موجود در باج‌افزار، به رمزگذاری فایل‌هایی با پسوند خاص اقدام می‌کند.
هدف از متوقف کردن ماشین توسط باج‌افزار، فراهم شدن امکان رمزگذاری آن‌ها بدون هرگونه ممانعت ESXi است. با این توضیح که اگر به هر دلیل فایل پیش از آغاز فرایند رمزگذاری به‌درستی بسته نشده باشد، ممکن است داده‌های آن برای همیشه از بین برود. همچنین با به‌کارگیری تابع stop_firewall()، فرمان زیر جهت توقف فایروال اجرا می‌شود:

 تابع stop_vm() هم فرمان زیر را از طریق esxcli اجرا و ماشین مجازی را متوقف می‌کند:

  هدف قراردادن سرورهای ESXi در حملات باج‌افزاری خطری جدی است زیرا امکان رمزگذاری هم‌زمان سرورهای متعدد را تنها با یک فرمان برای مهاجمان فراهم می‌کند. به‌خصوص آن که بسیاری از سازمان‌ها به این نوع بسترهای مجازی برای سرورهای خودروی آورده‌اند. 
باج‌افزارهای معروف دیگری نظیر REvil ، Babuk، RansomExx/Defray، Mespinoza، GoGoogle نیز از رمزگذارهای Linux برای هدف قراردادن ماشین‌های مجازی ESXi استفاده می‌کنند.

منابع:

https://www.bleepingcomputer.com/news/security/linux-version-of-blackmatter-ransomware-targets-vmware-esxi-servers
https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-gang-rises-from-the-ashes-of-darkside-revil