O grupo que opera o serviço de ransomware RansomHub desenvolveu e começou a usar um criptografador Linux para atingir ambientes VMware ESXi. O novo movimento foi descoberto pelo grupo de pesquisas Insikt, da empresa Recorded Future, observando que esse recurso “expande significativamente o leque de vítimas em potencial”.
Veja isso
Hackers automatizam ataques a servidores VMware ESXi
VMware corrige falhas de fuga de sandbox em vários produtos
Os pesquisadores acrescentam: “A versão ESXi do RansomHub emprega uma tática única, criando um arquivo chamado /tmp/app.pid para evitar que várias instâncias sejam executadas simultaneamente. Modificar esse arquivo pode interromper as operações do ransomware, apresentando uma estratégia de mitigação potencial para os sistemas afetados.”
O criptografador ESXi do RansomHub suporta várias opções de linha de comando para definir um retardo na execução, especificando quais VMs devem ser excluídas da criptografia, quais caminhos de diretório devem ser direcionados e muito mais. O RansomHub apareceu em fevereiro de 2024, utilizando cópias de código e associações de membros com ALPHV/BlackCat e Knight ransomware. O grupo já fez mais de 45 vítimas em 18 países.
Ao contrário das versões Windows e Linux do RansomHub escritas em Go, a versão ESXi é um programa C++ provavelmente derivado do agora extinto ransomware Knight. RansomHub oferece aos afiliados uma taxa de comissão de 90%, que está no limite superior da faixa típica de 80-90% vista no mercado RaaS. Esta taxa lucrativa provavelmente atrairá afiliados experientes de outras plataformas, levando a um aumento nas infecções e vítimas relacionadas ao RansomHub.
