Ransomware RedAlert mira em servidores Windows e Linux VMware ESXi!

ransomware-redalert-mira-em-servidores-windows-e-linux-vmware-esxi

Os servidores Windows e Linux VMware ESXi são alvos de uma nova operação de ransomware. Essa nova operação chamada RedAlert, ou N13V, criptografa servidores Windows e Linux VMWare ESXi em ataques a redes corporativas.

Essa operação foi descoberta pelo MalwareHunterTeam (Via: BleepingComputer), que twittou várias imagens do site de vazamento de dados da gangue. O ransomware foi chamado de RedAlert com base em uma string usada na nota de resgate.

No entanto, a partir de um criptografador Linux obtido pela BleepingComputer, os agentes de ameaças chamam sua operação de N13V internamente, conforme mostrado abaixo.

ransomware-redalert-mira-em-servidores-windows-e-linux-vmware-esxi
Imagem: Reprodução | BleepingComputer

Ransomware RedAlert

O criptografador Linux foi criado para direcionar servidores VMware ESXi, com opções de linha de comando que permitem que os agentes de ameaças desliguem qualquer máquina virtual em execução antes de criptografar os arquivos.

A lista completa de opções de linha de comando pode ser vista abaixo.

-w Executar comando para parar todas as VMs em execução
-p Caminho para criptografar (por padrão criptografar apenas arquivos no diretório, não incluir subdiretórios)
-f Arquivo para criptografar
-r Recursive. usado apenas com
-p (pesquisa e criptografia incluirá subdiretórios)
-t Verifica o tempo de criptografia (somente criptografia, sem geração de chave, alocação de memória ...)
-n Pesquisa sem criptografia de arquivo. (mostra ffiles e pastas com algumas informações)
-x Testes de desempenho de criptografia assimétrica. DEBUG TESTS
-h Mostrar esta mensagem

Ao executar o ransomware com o -w, o criptografador do Linux desligará todas as máquinas virtuais VMware ESXi em execução usando o seguinte comando esxcli:

esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'

Ao criptografar arquivos, o ransomware utiliza o algoritmo de criptografia de chave pública NTRUEncrypt, que suporta vários conjuntos de parâmetros que oferecem diferentes níveis de segurança.

O Bleeping Computer aponta que, um recurso interessante do RedAlert/N13V é a opção de linha de comando ‘-x’ que realiza teste de desempenho de criptografia assimétrica usando esses diferentes conjuntos de parâmetros NTRUEncrypt. No entanto, não está claro se existe uma maneira de forçar um determinado parâmetro definido ao criptografar e/ou se o ransomware selecionará um mais eficiente.

A única outra operação de ransomware conhecida por usar esse algoritmo de criptografia é o FiveHands.

Ação do ransomware

ransomware-redalert-mira-em-servidores-windows-e-linux-vmware-esxi

Ao criptografar arquivos, o ransomware terá como alvo apenas os arquivos associados às máquinas virtuais VMware ESXi, incluindo arquivos de log, arquivos de troca, discos virtuais e arquivos de memória, conforme listado abaixo.

.log
.vmdk
.vmem
.vswp
.vmsn

Na amostra analisada pelo BleepingComputer, o ransomware criptografaria esses tipos de arquivo e anexaria a extensão .crypt658  aos nomes dos arquivos criptografados.

Em cada pasta, o ransomware também criará uma nota de resgate personalizada chamada HOW_TO_RESTORE, que contém uma descrição dos dados roubados e um link para um site exclusivo de pagamento de resgate TOR para a vítima.

O RedAlert/N13V aceita apenas a criptomoeda Monero para pagamento, que não é comumente vendida nas exchanges de criptomoedas dos EUA porque é uma moeda de privacidade.

Embora apenas um criptografador do Linux tenha sido encontrado, o site de pagamento escondeu elementos que mostram que os descriptografadores do Windows também existem.

Quando uma vítima não paga um pedido de resgate, a gangue RedAlert publica dados roubados em seu site de vazamento de dados que qualquer um pode baixar.

Atualmente, o site de vazamento de dados RedAlert contém apenas os dados de uma organização, indicando que a operação é muito nova. Embora não tenha havido muita atividade com a nova operação de ransomware N13V/RedAlert, é uma que definitivamente precisaremos ficar de olho devido à sua funcionalidade avançada e suporte imediato para Linux e Windows.