Ransomware mira ambientes VMware ESXi
6 de Junho de 2024

Pesquisadores observaram uma nova variante Linux do ransomware TargetCompany, que tem como alvo ambientes VMware ESXi, usando um shell script personalizado para entregar e executar payloads.

Também conhecido como Mallox, FARGO e Tohnichi, a operação do ransomware TargetCompany surgiu em junho de 2021 e tem se concentrado em ataques a bancos de dados (MySQL, Oracle, SQL Server) contra organizações principalmente em Taiwan, Coreia do Sul, Tailândia e Índia.

Em fevereiro de 2022, a empresa de antivírus Avast anunciou a disponibilidade de uma ferramenta gratuita de descriptografia que abrangia as variantes lançadas até aquela data.

Porém, em setembro, a gangue voltou à atividade regular atacando servidores Microsoft SQL vulneráveis e ameaçando as vítimas com a divulgação de dados roubados via Telegram.

Em um relatório hoje, a empresa de cibersegurança Trend Micro diz que a nova variante Linux do ransomware TargetCompany garante que tenha privilégios administrativos antes de continuar a rotina maliciosa.

Para baixar e executar o payload do ransomware, o ator de ameaça usa um script personalizado que também pode exfiltrar dados para dois servidores separados, provavelmente por redundância em caso de problemas técnicos com a máquina ou se for comprometida.

Uma vez no sistema alvo, o payload verifica se está em um ambiente VMware ESXi executando o comando ‘uname’ e procurando por ‘vmkernel’.

Em seguida, um arquivo “TargetInfo.txt” é criado e enviado ao servidor de comando e controle (C2).

Ele contém informações da vítima, como hostname, endereço IP, detalhes do SO, usuários logados e privilégios, identificadores únicos e detalhes sobre os arquivos e diretórios criptografados.

O ransomware criptografará arquivos que possuem extensões relacionadas a VM (vmdk, vmem, vswp, vmx, vmsn, nvram), acrescentando a extensão “.locked” aos arquivos resultantes.

Por fim, uma nota de resgate nomeada “HOW TO DECRYPT.txt” é criada, contendo instruções para a vítima sobre como pagar o resgate e obter uma chave de descriptografia válida.

Depois de todas as tarefas serem concluídas, o shell script deleta o payload usando o comando ‘rm -f x’ para que todos os rastros que possam ser usados em investigações pós-incidente sejam eliminados das máquinas afetadas.

Analistas da Trend Micro estão atribuindo os ataques que implantam a nova variante Linux do ransomware TargetCompany a um afiliado chamado “vampire”, que provavelmente é o mesmo mencionado em um relatório da Sekoia no mês passado.

Os endereços IP usados para entregar o payload e aceitar o arquivo de texto com as informações da vítima foram rastreados até um provedor de ISP na China.

No entanto, isso não é suficiente para determinar com precisão a origem do atacante.

Tipicamente, o ransomware TargetCompany focava em máquinas Windows, mas o lançamento da variante Linux e a mudança para criptografar máquinas VMware ESXi mostram a evolução da operação.

O relatório da Trend Micro inclui um conjunto de recomendações, como habilitar a autenticação multifator (MFA), criar backups e manter os sistemas atualizados.

Os pesquisadores fornecem uma lista de indicadores de comprometimento com hashes para a versão Linux do ransomware, o shell script personalizado e amostras relacionadas ao afiliado 'vampire'.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...