0
0
Nova variante é executada usando a linha de comando e já vem com suporte para vários sinalizadores que dão aos operadores do ransomware algum controle sobre o processo de criptografia
O grupo Royal é a mais recente operação de ransomware destinada a criptografar dispositivos Linux — a partir de variantes mais novas do malware para o sistema operacional de código aberto — e que visa especificamente máquinas virtuais VMware ESXi. A nova variante Linux do Royal foi descoberta por Will Thomas, do Equinix Threat Analysis Center (ETAC), e é executada usando a linha de comando. Ele também já vem com suporte para vários sinalizadores que dão aos operadores do ransomware algum controle sobre o processo de criptografia.
Relatos recentes dão conta da existência de criptografadores para Linux semelhantes lançados por várias outras gangues de ransomware, como o Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX e Hive.
Embora as soluções antimalware tenham problemas para detectar amostras do Royal, que agrupam os novos recursos de segmentação, agora elas são detectadas por 23 dos 62 mecanismos de verificação de malware no VirusTotal.
O ransomware Royal é uma operação composta por operadores de ameaças experientes que trabalharam anteriormente com o ransomware Conti. A partir de setembro do ano passado, ele intensificou as atividades maliciosas meses depois de ser detectado pela primeira vez em janeiro. Embora inicialmente tenham utilizado criptografadores de outras operações, como BlackCat, os operadores passaram a ter os seus próprios sistemas de criptografia, começando com Zeon, que soltou notas de resgate semelhantes às geradas pelo Conti.
Em meados de setembro, o grupo rebatizou como “Royal” e começou a implantar um novo criptografador em ataques que produz notas de resgate com o mesmo nome. A gangue exige pagamentos de resgate que variam de US$ 250 mil a dezenas de milhões depois de criptografar os sistemas de rede corporativos de seus alvos. Em dezembro, o Departamento de Saúde e Serviços Humanos (HHS) dos EUA alertou sobre ataques do ransomware Royal direcionados a instituições do setor de saúde e saúde pública (HPH).
A mudança dos grupos de ransomware para direcionar máquinas virtuais ESXi se alinha com uma tendência que fez com que as empresas migrassem para máquinas virtuais à medida que vêm com gerenciamento de dispositivos aprimorado e manuseio de recursos muito mais eficiente.
Depois de implantar suas cargas em hosts ESXi, os operadores de ransomware usam um único comando para criptografar vários servidores. Para piorar o cenário, dezenas de milhares de servidores VMware ESXi expostos na internet chegaram ao fim de sua vida útil em outubro do ano passado, de acordo com um relatório da Lansweeper. Esses sistemas receberão apenas suporte técnico a partir de agora, mas nenhuma atualização de segurança, o que os expõe a ataques de ransomware.
Para colocar as coisas em perspectiva e mostrar como esses servidores estão expostos a ataques, uma nova cepa de ransomware conhecida como ESXiArgs foi usada para procurar e criptografar servidores não corrigidos em uma campanha massiva direcionada a dispositivos ESXi em todo o mundo na sexta-feira, 3. Em apenas algumas horas, mais de 100 servidores em todo o mundo foram comprometidos nesses ataques, de acordo com uma pesquisa da Shodan. Com agências de notícias internacionais.
FONTE: CISO ADVISOR