O grupo hacker BlackMatter, que se acredita ser a nova denominação da gangue DarkSide que teve suas operações encerradas após perder o acesso a seus servidores e de sua carteira de criptomoedas ter sido apreendida, desenvolveu um criptografador Linux que tem como alvo a plataforma de máquina virtual ESXi da VMware.
A empresa está migrando para máquinas virtuais com objetivo de melhor o gerenciamento de recursos e recuperação de desastres de seus servidores. E como o VMware ESXi é a plataforma de máquina virtual mais popular do mercado, quase todas as operações de ransomware voltadas para empresas começaram a liberar criptografadores que visam especificamente suas máquinas virtuais.
Na quarta-feira, 4, pesquisadores de segurança do MalwareHunterTeam encontraram um criptografador Linux ELF64 [VirusTotal] da gangue que opera o ransomware BlackMatter e visa especificamente servidores VMware ESXi.
As suspeitas de que o grupoBlackMatter seria a nova marca do DarkSide ficaram mais evidentes depois que os pesquisadores encontraram amostras de que as rotinas de criptografia usadas pelo ransomware eram as mesmas personalizadas e exclusivas usadas pelo DarkSide, que fechou após atacar e interromper as operações da Colonial Pipeline e, em seguida, sentir a pressão internacional e do governo dos EUA.
Veja isso
Servidores VMware vCenter ainda expostos a ataques
Malware abre caminho para invadir servidores VMware expostos
A partir da amostra do criptografador de Linux da BlackMatter compartilhado com o BleepingComputer, fica claro que ele foi projetado exclusivamente para os servidores VMWare ESXi.
Todos os ransomwares voltados para servidores ESXi tentam desligar as máquinas virtuais antes de criptografar as unidades. Isso é feito para evitar que os dados sejam corrompidos durante a criptografia. Depois que todas as máquinas virtuais são desligadas, ele criptografa os arquivos que correspondem a extensões de arquivo específicas com base na configuração incluída com o ransomware.
O direcionamento de servidores ESXi é muito eficiente ao conduzir ataques de ransomware, pois permite que os operadores da ameaça criptografem vários servidores ao mesmo tempo com um único comando.
À medida que mais empresas migram para esse tipo de plataforma para seus servidores, especialistas em cibersegurança avaliam que continuaremos a ver os desenvolvedores de ransomware se concentrando principalmente em máquinas Windows, mas também criando um Linux dedicado criptografado direcionado ao ESXi.