Versão Linux do ransomware RansomHub mira em VMs VMware ESXi

21/06/2024 09:00

Operadores do ransomware RansomHub usam um criptografador Linux projetado especificamente para criptografar ambientes VMware ESXi em ataques corporativos. A operação foi lançada em fevereiro de 2024, apresentando sobreposições de código e associações de membros com ALPHV/BlackCat e Knight ransomware, tendo feito mais de 45 vítimas em 18 países.

Ransomware RansomHub para Linux

A existência de um criptografador RansomHub para Windows e Linux foi confirmada desde o início de maio. A Recorded Future agora relata (Via: Bleeping Computer) que o grupo de ameaças também tem uma variante ESXi especializada em seu arsenal, que viu pela primeira vez em abril de 2024.

Ao contrário das versões Windows e Linux do RansomHub escritas em Go, a versão ESXi é um programa C++ provavelmente derivado do agora extinto ransomware Knight. Curiosamente, o Recorded Future também encontrou um bug simples na variante ESXi que os defensores podem aproveitar para enviá-lo para um loop infinito e evitar a criptografia.

Criptografador ESXi do RansomHub

A empresa adotou o uso de máquinas virtuais para hospedar seus servidores, pois permitem um melhor gerenciamento de CPU, memória e recursos de armazenamento. Devido a essa maior adoção, quase todas as gangues de ransomware voltadas para empresas criaram criptografadores VMware ESXi dedicados para atingir esses servidores.

O RansomHub não é exceção, com seu criptografador ESXi suportando várias opções de linha de comando para definir um atraso de execução, especificando quais VMs devem ser excluídas da criptografia, quais caminhos de diretório devem ser direcionados e muito mais. Ele também possui comandos e opções específicos do ESXi, como ‘vim-cmd vmsvc/getallvms’ e ‘vim-cmd vmsvc/snapshot.removeall’ para exclusão de instantâneos e ‘esxcli vm process kill’ para desligar VMs.

versao-linux-do-ransomware-ransomhub-mira-em-vms-vmware-esxi — Imagem: Reprodução | Bleeping Computer

O criptografador também desativa o syslog e outros serviços críticos para impedir o registro e pode ser configurado para ser excluído após a execução para evitar detecção e análise. O esquema de criptografia usa ChaCha20 com Curve25519 para gerar chaves públicas e privadas e criptografa arquivos relacionados ao ESXi como ‘.vmdk,’ ‘.vmx,’ ‘.vmsn,’ apenas parcialmente (criptografia intermitente) para desempenho mais rápido.

Especificamente, ele criptografa apenas o primeiro megabyte de arquivos maiores que 1 MB, repetindo blocos de criptografia a cada 11 MB. Por fim, ele adiciona um rodapé de 113 bytes a cada arquivo criptografado contendo a chave pública da vítima, ChaCha20 nonce e contagem de pedaços.

Os analistas da Recorded Future descobriram que a variante ESXi usa um arquivo chamado ‘/tmp/app.pid’ para verificar se uma instância já está em execução. Se este arquivo existir com um ID de processo, o ransomware tentará encerrar esse processo e sairá.

No entanto, se o arquivo contiver ‘-1’, o ransomware entra em um loop infinito onde tenta eliminar um processo inexistente, neutralizando-se efetivamente. Isso praticamente significa que as organizações podem criar um arquivo /tmp/app.pid contendo ‘-1’ para proteção contra a variante RansomHub ESXi. Isto é, pelo menos até que os operadores de RaaS corrijam o bug e lancem versões atualizadas para seus afiliados usarem em ataques.

Assuntos

Mais Notícias

Mais artigos

Screenshot do ambiente de desktop COSMIC da System76

Lançamento COSMIC

System76 lança segunda versão alpha do COSMIC com melhorias no gerenciador de janelas e acessibilidade

A System76 lançou o COSMIC Alpha 2, trazendo novidades como gerenciamento de janelas aprimorado, novas configurações de energia, som e redes, além de melhorias no COSMIC Files e maior acessibilidade. A versão está disponível para várias distribuições Linux.

Dispositivos embarcados

Linux 6.12 traz driver 9p network USB gadget para facilitar o desenvolvimento de dispositivos embarcados

O Linux 6.12 introduz o driver 9p network USB gadget, facilitando o desenvolvimento de dispositivos embarcados. Ele permite que dispositivos conectados via USB acessem sistemas de arquivos exportados pelo PC, simplificando o processo de desenvolvimento.

Relógio despertador preto com ponteiros em 10:10 e texto destacando 'Linux Kernel 6.12 Update' em fundo amarelo

RISC-V kernel

RISC-V amplia suporte no kernel Linux 6.12 com novas funcionalidades

O Linux 6.12 traz novas funcionalidades para a arquitetura RISC-V, incluindo suporte ao Zkr no KASLR, melhorias de rastreamento de pilhas e relatórios de vulnerabilidades, além de otimizações de memória com a extensão Svvptc.

Imagem com a logomarca do rpn com fundo verde

Calculadora CLI

Como instalar o rpn no Ubuntu, Fedora, Debian, RHEL, Mageia e mais

O rpn é uma linguagem funcional matemática que usa notação polonesa reversa (postfix). Você pode executá-la como um cli com `flatpak run fr.rubet.rpn`. Neste tutorial, saiba como instalar o rpn no Linux, usando pacotes Flatpak. Não perca mais tempo e instale essa maravilhosa ferramenta agora mesmo no seu Linux, de forma simples e rápida, seguindo […]

Virtualização aprimorada

Melhorias no desempenho do VirtIO Vsock com o Linux 6.12

As atualizações do Linux 6.12 trazem melhorias de desempenho significativas para o VirtIO Vsock, reduzindo a latência e aumentando a taxa de transferência, otimizando a comunicação entre máquinas virtuais e hosts.

Imagem com a logomarca do Stella com fundo vermelho

Emulador Atari 2600

Como instalar o Stella no Ubuntu, Fedora, Debian, RHEL, Mageia e mais

Neste tutorial, saiba como instalar o Stella no Linux, usando pacotes Flatpak. Stella é um emulador Atari 2600 VCS multiplataforma. O Atari 2600 Video Computer System (VCS), lançado em 1977, foi o sistema de videogame doméstico mais popular do início dos anos 1980. Agora você pode aproveitar todos os seus jogos favoritos do Atari 2600 […]