Muitos malwares estão desenvolvendo uma versão de ataque para o Linux. E, o Royal Ransomware é o mais recente a adicionar suporte para criptografar dispositivos Linux em suas variantes de malware mais recentes, visando especificamente máquinas virtuais VMware ESXi.
Royal Ransomware para Linux visando especificamente máquinas virtuais VMware ESXi
O BleepingComputer tem relatado sobre criptografadores de ransomware Linux semelhantes lançados por várias outras gangues, incluindo Black Basta, LockBit, BlackMatter e muitos outros.
Essa nova variante do Linux Royal Ransomware foi descoberta por Will Thomas, do Equinix Threat Analysis Center (ETAC), e é executada usando a linha de comando. Ela também vem com suporte para vários sinalizadores que darão aos operadores de ransomware algum controle sobre o processo de criptografia:
- -stopvm > interrompe todas as VMs em execução para que possam ser criptografadas
- -vmonly – Criptografar apenas máquinas virtuais
- -garfo – desconhecido
- -logs – desconhecido
- -id: id deve ter 32 caracteres
De acordo com o Bleeping Computer, ao criptografar arquivos, o ransomware anexará a extensão .royal_u a todos os arquivos criptografados na VM. No entanto, embora as soluções antimalware tenham problemas para detectar amostras do Royal Ransomware que agrupam os novos recursos de segmentação, agora elas são detectadas por 23 dos 62 mecanismos de verificação de malware no VirusTotal.
Royal Ransomware
Royal Ransomware é uma operação privada composta por agentes de ameaças experientes que trabalharam anteriormente com a operação de ransomware Conti. Esse agente de ameaças intensificou as atividades maliciosas meses depois de ser detectado pela primeira vez em janeiro de 2022, em setembro do mesmo ano.
Embora inicialmente tenham utilizado criptografadores de outras operações, como BlackCat, eles passaram a usar os seus próprios, começando com Zeon, que soltou notas de resgate semelhantes às geradas por Conti. E, em meados de setembro, o grupo rebatizou como “Royal” e começou a implantar um novo criptografador em ataques que produz notas de resgate com o mesmo nome.
A gangue exige pagamentos de resgate que variam de $ 250.000 (mais de R$ 1,3 mi) a dezenas de milhões. Inclusive, a maioria das variedades de ransomware agora também tem como alvo o Linux.
Foco no Linux
A mudança dos grupos de ransomware para direcionar máquinas virtuais ESXi se alinha com uma tendência em que as empresas fizeram a transição para VMs à medida que vêm com gerenciamento de dispositivos aprimorado e manuseio de recursos muito mais eficiente. Depois de implantar suas cargas em hosts ESXi, os operadores de ransomware usam um único comando para criptografar vários servidores.
Dezenas de milhares de servidores VMware ESXi expostos na Internet chegaram ao fim de sua vida útil em outubro, de acordo com um relatório da Lansweeper. Esses sistemas receberão apenas suporte técnico a partir de agora, mas nenhuma atualização de segurança, o que os expõe a ataques de ransomware, aponta o Bleeping Computer.
Para colocar as coisas em perspectiva e mostrar como esses servidores estão expostos a ataques, uma nova cepa de ransomware conhecida como ESXiArgs foi usada para procurar e criptografar servidores não corrigidos em uma campanha massiva direcionada a dispositivos ESXi em todo o mundo nesta sexta-feira, revela o site.