Nova Variante do Royal Trojan Descoberta, Alvo de Máquinas Virtuais VMware ESXi

Um pesquisador de segurança chamado Will Thomas no Equinix Threat Analysis Centre (ETAC) descobriu uma nova variante do Royal Trojan que é executada usando uma linha de comando.

Assim, o Royal Trojan se torna o mais recente trojan que adicionou suporte para criptografar dispositivos Linux às suas variantes, especialmente visando sistemas virtuais VMware ESXi.

Houve vários incidentes de criptografadores de ransomware semelhantes sendo disseminados pelos grupos AvosLocker, Hive, Black Basta e mais.

Além disso, ele suporta múltiplas flags, o que dá aos operadores de ransomware algum controle sobre o processo de criptografia. Estas são as seguintes flags.

-stopvm > parar todas as VMs em execução para que possam ser criptografadas.
-vmony - Apenas criptografar máquinas virtuais
-id: id deve ter 32 caracteres.
-fork - desconhecido
-logs - desconhecido  

Agora, quando o ransomware criptografa o arquivo, ele adiciona a extensão .royal_u a todos os arquivos criptografados na VM.

Embora os mecanismos anti-ransomware tenham tido problemas para detectar o ransomware, agora detectaram 23 dos 63 motores de varredura de malware no Virus Total.

Para aqueles que não sabem, o Royal Ransomware é de propriedade privada de vários atores de ameaça experientes que anteriormente operaram o ransomware Conti. O ransomware Royal foi encontrado pela primeira vez em janeiro de 2022, e em setembro, o Royal aumentou suas atividades maliciosas.

No início, os atores de ameaça usaram criptografadores de outras operações como BlackCat e depois mudaram para usar os seus próprios, como Zoen, que enviou notas de resgate exatamente como as enviadas pelo ransomware Conti.

Leia: Atacantes Abusando de Anexos do OneNote para Espalhar Malware RAT

Em setembro, os atacantes de ameaça rebatizaram a cepa como Royal e então começaram a implantar um novo criptografador em ataques que enviaram notas de resgate com os mesmos nomes exatos.

Depois disso, o grupo exige um resgate após criptografar os sistemas de rede empresarial de suas vítimas.

O Departamento de Saúde e Serviços Humanos dos EUA também alertou contra o ransomware royal visando os setores de saúde e público.

Esta não é a primeira vez que os atacantes de ameaça estão visando máquinas virtuais ESXI, simplesmente desde que as empresas começaram a usar as VMs à medida que melhoraram seu gerenciamento de dispositivos e um manuseio de recursos muito mais eficiente.

À medida que implantam payload em hosts ESXi, os atacantes de ameaça usam um único comando para criptografar vários servidores. Uma coisa a notar aqui é que os grupos implementaram ransomware baseado em Linux que visa ESXi.

Muitos servidores VMware ESXi em toda a internet tiveram seu último suporte. Eles só receberão suporte técnico agora, mas apenas atualizações de segurança, tornando-os suscetíveis a ataques de resgate.

Leia: Medidas Rigorosas da Netflix sobre Compartilhamento de Senhas: O que Esperar