Pesquisadores observaram uma nova variante Linux do ransomware TargetCompany, que tem como alvo ambientes VMware ESXi, usando um shell script personalizado para entregar e executar payloads.
Também conhecido como Mallox, FARGO e Tohnichi, a operação do ransomware TargetCompany surgiu em junho de 2021 e tem se concentrado em ataques a bancos de dados (MySQL, Oracle, SQL Server) contra organizações principalmente em Taiwan, Coreia do Sul, Tailândia e Índia.
Em fevereiro de 2022, a empresa de antivírus Avast anunciou a disponibilidade de uma ferramenta gratuita de descriptografia que abrangia as variantes lançadas até aquela data.
Porém, em setembro, a gangue voltou à atividade regular atacando servidores Microsoft SQL vulneráveis e ameaçando as vítimas com a divulgação de dados roubados via Telegram.
Em um relatório hoje, a empresa de cibersegurança Trend Micro diz que a nova variante Linux do ransomware TargetCompany garante que tenha privilégios administrativos antes de continuar a rotina maliciosa.
Para baixar e executar o payload do ransomware, o ator de ameaça usa um script personalizado que também pode exfiltrar dados para dois servidores separados, provavelmente por redundância em caso de problemas técnicos com a máquina ou se for comprometida.
Uma vez no sistema alvo, o payload verifica se está em um ambiente VMware ESXi executando o comando ‘uname’ e procurando por ‘vmkernel’.
Em seguida, um arquivo “TargetInfo.txt” é criado e enviado ao servidor de comando e controle (C2).
Ele contém informações da vítima, como hostname, endereço IP, detalhes do SO, usuários logados e privilégios, identificadores únicos e detalhes sobre os arquivos e diretórios criptografados.
O ransomware criptografará arquivos que possuem extensões relacionadas a VM (vmdk, vmem, vswp, vmx, vmsn, nvram), acrescentando a extensão “.locked” aos arquivos resultantes.
Por fim, uma nota de resgate nomeada “HOW TO DECRYPT.txt” é criada, contendo instruções para a vítima sobre como pagar o resgate e obter uma chave de descriptografia válida.
Depois de todas as tarefas serem concluídas, o shell script deleta o payload usando o comando ‘rm -f x’ para que todos os rastros que possam ser usados em investigações pós-incidente sejam eliminados das máquinas afetadas.
Analistas da Trend Micro estão atribuindo os ataques que implantam a nova variante Linux do ransomware TargetCompany a um afiliado chamado “vampire”, que provavelmente é o mesmo mencionado em um relatório da Sekoia no mês passado.
Os endereços IP usados para entregar o payload e aceitar o arquivo de texto com as informações da vítima foram rastreados até um provedor de ISP na China.
No entanto, isso não é suficiente para determinar com precisão a origem do atacante.
Tipicamente, o ransomware TargetCompany focava em máquinas Windows, mas o lançamento da variante Linux e a mudança para criptografar máquinas VMware ESXi mostram a evolução da operação.
O relatório da Trend Micro inclui um conjunto de recomendações, como habilitar a autenticação multifator (MFA), criar backups e manter os sistemas atualizados.
Os pesquisadores fornecem uma lista de indicadores de comprometimento com hashes para a versão Linux do ransomware, o shell script personalizado e amostras relacionadas ao afiliado 'vampire'.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...