Ultimamente, os grupos de ransomware estão cada vez mais direcionados, não apenas em computadores Windows, mas também em dispositivos Linux e máquinas virtuais ESXi.
Já destacado anteriormente pela Kaspersky a gangue BlackCat, que vem distribuindo malwares escritos na linguagem multiplataforma Rust e são capazes de criptografar esses tipos de sistemas. Os especialistas da Kaspersky analisaram mais duas famílias de malware que apareceram recentemente na dark web com funcionalidades semelhantes: Black Basta e o Luna.
Black Basta — ransomware para ESXi
Black Basta é uma variante de ransomware relativamente nova escrita em C++ que veio à tona em fevereiro de 2022. O malware, a infraestrutura e a campanha ainda estavam em modo de desenvolvimento na época. Por exemplo, o blog da vítima ainda não estava online, mas o site Black Basta já estava disponível para as vítimas.
Há duas versões: para Windows e para Linux, com o último voltado principalmente para imagens de máquinas virtuais ESXi. Um recurso de destaque da versão do Windows é que ele inicializa o sistema no modo de segurança antes de criptografar. Isso permite que o malware evite a detecção por soluções de segurança, muitas das quais não funcionam no modo de segurança.
De acordo com a Kaspersky, seus alvos estão localizados nos EUA, Austrália, Europa, Ásia e América Latina.
Luna — mais um ransomware baseado em Rust
Os pesquisadores da Kaspersky descobriram o malware Luna em junho. Também escrito em Rust, é capaz de criptografar dispositivos Windows e Linux, bem como imagens de máquinas virtuais ESXi.
As amostras afirmam que o Luna só trabalha com afiliados de língua russa. Além disso, a nota de resgate codificada dentro do binário contém erros de ortografia. Por exemplo, ele diz “a little team” em vez de “a small team”. Por causa disso, a equipe da Kaspersky presume que os atores por trás de Luna são falantes de russo.
Luna confirma a tendência do ransomware multiplataforma: as gangues de ransomware atuais dependem muito de linguagens como Golang e Rust. Sendo as linguagens independentes de plataforma, o ransomware escrito nelas pode ser facilmente portado de uma plataforma para outra e, portanto, os ataques podem atingir diferentes sistemas operacionais ao mesmo tempo. Além disso, as linguagens multiplataforma ajudam a evitar a análise estática.
Como se proteger de ransomware
O ransomware continua sendo uma séria ameaça aos negócios. Novos players continuam a aparecer no mercado e rapidamente captam as tendências mais disruptivas. Para se manter seguro, você precisa estar sempre atento ao cenário de ameaças e construir sua estratégia de proteção com base nele.
Por esse motivo, é importante ficar por dentro de todos os desenvolvimentos no ecossistema de ransomware, para que se possa tomar as medidas adequadas para proteger a infraestrutura.
Uma tendência, é que os sistemas ESXi são cada vez mais direcionados. O objetivo é causar o máximo de danos possíveis. Luna e Black Basta não são exceções.
E lembre-se de que todos os dispositivos corporativos voltados para a Internet devem estar equipados com soluções de segurança, incluindo servidores executando Linux — os ataques a eles se tornaram mais frequentes recentemente.