Surgiu uma nova onda de ataques de ransomware direcionados a plataformas de máquinas virtuais, com o grupo de ransomware Akira liderando uma campanha contra os sistemas Hyper-V e VMware ESXi.
Esses ataques representam uma ameaça crescente aos ambientes empresariais que dependem da virtualização para operações críticas.
O grupo desenvolveu ferramentas especializadas para criptografar rapidamente máquinas virtuais, causando interrupções generalizadas nas redes visadas.
O ransomware Akira tem como alvo a camada do hipervisor, que gerencia várias máquinas virtuais em um único servidor físico.
Quando os invasores obtêm acesso a esses sistemas, eles podem criptografar diversas máquinas virtuais simultaneamente, multiplicando os danos causados por uma única intrusão.
Essa abordagem tornou o malware particularmente eficaz contra organizações que executam data centers e serviços em nuvem.
O processo de criptografia bloqueia sistemas críticos para os negócios, forçando as empresas a enfrentar decisões difíceis sobre pagamento de resgates ou restauração de backups.
Os pesquisadores de segurança da Huntress identificaram esta campanha após observarem padrões de atividade incomuns em ambientes de virtualização.
A análise revelou que o grupo Akira aprimorou suas táticas para explorar falhas de segurança comuns nas configurações de hipervisores.
O malware se espalha por meio de credenciais comprometidas e vulnerabilidades não corrigidas, obtendo acesso administrativo a hosts ESXi e Hyper-V antes de implantar sua rotina de criptografia.
O ransomware procura explicitamente arquivos de disco da máquina virtual e dados de configuração. Uma vez localizado, ele inicia o processo de criptografia e tenta desabilitar os serviços de backup e excluir os instantâneos de recuperação.
Esta abordagem dupla elimina opções fáceis de restauração, aumentando a pressão sobre as vítimas para negociarem com os atacantes.
A criptografia em sistemas virtualizados é significativamente mais rápida do que os métodos tradicionais arquivo por arquivo, geralmente sendo concluída em poucas horas.
Execução de Ataque e Comprometimento do Sistema
O mecanismo de infecção depende muito do acesso inicial através de credenciais administrativas fracas ou roubadas.
Depois de estabelecerem uma posição segura, os atacantes realizam reconhecimento para mapear a infraestrutura virtual e identificar alvos de alto valor.
O malware então implanta executáveis específicos da plataforma, com versões separadas otimizadas para Hyper-V baseado em Windows e ESXi baseado em Linux.
A variante ESXi usa parâmetros de linha de comando para controlar o comportamento da criptografia, incluindo opções para ignorar tipos de arquivos específicos ou direcionar máquinas virtuais específicas.
Um comando de execução típico pode ser parecido com: –
text./akira_esxi –encryption-mode fast –exclude-vm backup-server
Essa flexibilidade permite que os invasores adaptem sua abordagem com base no ambiente alvo, maximizando o impacto e evitando a detecção por sistemas de monitoramento que possam estar rastreando atividades suspeitas.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
