Descoberta por Will Thomas, do ETAC, a versão Linux do Royal Ransomware tem como alvo o VMware ESXi. Confira os detalhes dessa ameaça.
Royal Ransomware é a mais recente operação de ransomware para adicionar suporte para criptografar dispositivos Linux em suas variantes de malware mais recentes, visando especificamente máquinas virtuais VMware ESXi.
Versão Linux do Royal Ransomware tem como alvo o VMware ESXi
O site BleepingComputer tem relatado sobre criptografadores de ransomware Linux semelhantes lançados por várias outras gangues, incluindo Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX e Hive.
A nova variante do Linux Royal Ransomware foi descoberta por Will Thomas, do Equinix Threat Analysis Center (ETAC), e é executada usando a linha de comando.
Ele também vem com suporte para vários sinalizadores que darão aos operadores de ransomware algum controle sobre o processo de criptografia:
- -stopvm > interrompe todas as VMs em execução para que possam ser criptografadas
- -vmonly – Criptografar apenas máquinas virtuais
- -fork – desconhecido
- -logs – desconhecido
- -id: id deve ter 32 caracteres
Ao criptografar arquivos, o ransomware anexará a extensão .royal_u a todos os arquivos criptografados na VM.
Embora as soluções antimalware tenham problemas para detectar amostras do Royal Ransomware que agrupam os novos recursos de segmentação, agora elas são detectadas por 23 dos 62 mecanismos de verificação de malware no VirusTotal.
Quem é Royal Ransomware?
Royal Ransomware é uma operação privada composta por agentes de ameaças experientes que trabalharam anteriormente com a operação de ransomware Conti
A partir de setembro, Royal intensificou as atividades maliciosas meses depois de ser detectado pela primeira vez em janeiro de 2022.
Embora inicialmente tenham utilizado criptografadores de outras operações, como BlackCat, eles passaram a usar os seus próprios, começando com Zeon, que soltou notas de resgate semelhantes às geradas por Conti.
Em meados de setembro, o grupo rebatizou como “Royal” e começou a implantar um novo criptografador em ataques que produz notas de resgate com o mesmo nome.
A gangue exige pagamentos de resgate que variam de $ 250.000 a dezenas de milhões depois de criptografar os sistemas de rede corporativos de seus alvos.
Em dezembro, o Departamento de Saúde e Serviços Humanos (HHS) dos EUA alertou sobre ataques de ransomware Royal direcionados a organizações do setor de Saúde e Saúde Pública (HPH).
A maioria das variedades de ransomware agora também tem como alvo o Linux
A mudança dos grupos de ransomware para direcionar máquinas virtuais ESXi se alinha com uma tendência em que as empresas fizeram a transição para VMs à medida que vêm com gerenciamento de dispositivos aprimorado e manuseio de recursos muito mais eficiente.
Depois de implantar suas cargas em hosts ESXi, os operadores de ransomware usam um único comando para criptografar vários servidores.
“A razão pela qual a maioria dos grupos de ransomware implementou uma versão baseada em Linux de seu ransomware é visar especificamente o ESXi”, disse Wosar ao BleepingComputer no ano passado.
Você pode encontrar mais informações sobre o Royal Ransomware e o que fazer se for atingido neste tópico de suporte no fórum BleepingComputer.
Dezenas de milhares de servidores VMware ESXi expostos na Internet chegaram ao fim de sua vida útil em outubro, de acordo com um relatório da Lansweeper.
Esses sistemas receberão apenas suporte técnico a partir de agora, mas nenhuma atualização de segurança, o que os expõe a ataques de ransomware.
Para colocar as coisas em perspectiva e mostrar como esses servidores estão expostos a ataques, uma nova cepa de ransomware conhecida como ESXiArgs foi usada para procurar e criptografar servidores não corrigidos em uma campanha massiva direcionada a dispositivos ESXi em todo o mundo nesta sexta-feira.
Em apenas algumas horas, mais de 100 servidores em todo o mundo foram comprometidos nesses ataques, de acordo com uma pesquisa da Shodan.