Investigadores da empresa russa Kaspersky descobriram um novo grupo de ransomware que vem reforçar ainda mais a tendência já instalada de utilizar ransomware multiplataforma.
O grupo, apelidado de Luna, utiliza Rust, linguagem de programação que foi anteriormente utilizada pelos gangs BlackCat e Hive e que permite migrar facilmente malware de um sistema operativo para outro.
O grupo Luna implementa malware escrito em Rust, cujas capacidades multiplataforma permitem ao grupo visar sistemas Windows, Linux e ESXi de uma só vez. O anúncio na Dark Web, identificado pelos investigadores, afirma que o Luna só trabalha com afiliados fluentes em russo. Além disso, a nota de resgate codificada no binário contém alguns erros ortográficos – o que leva os investigadores a concluirem que o grupo pode ser russo. Uma vez que o Luna é um grupo descoberto recentemente, ainda há poucos dados sobre as suas vítimas.
Este grupo é mais uma prova da tendência recente para o ransomware entre plataformas, com línguas como Golang e Rust a serem fortemente implementadas por gangs de ransomware no ano passado. Um exemplo notável inclui o BlackCat e o Hive, este último utilizando tanto o Go como o Rust. Estas linguagens funcionam independentemente da plataforma, pelo que os ataques de ransomware escritos utilizando-as podem ser facilmente migrados de uma plataforma para outra. Os ataques podem então ser dirigidos a múltiplos sistemas operativos ao mesmo tempo.
Outra investigação recente da empresa de cibersegurança fornece uma visão mais profunda sobre a atividade do agente de ransomware Black Basta. Este grupo executa uma nova variante de ransomware escrita em C++ identificada pela primeira vez em Fevereiro de 2022. Desde então, o Black Basta tem conseguido atacar mais de 40 vítimas, principalmente nos Estados Unidos, Europa e Ásia.
Como a investigação da Kaspersky demonstrou, tanto o Luna como o Black Basta estão a visar sistemas ESXi, bem como Windows e Linux, o que é mais uma tendência de ransomware de 2022. ESXi é um hipervisor que pode ser utilizado independentemente em qualquer sistema operativo. Uma vez que muitas empresas migraram para máquinas virtuais baseadas em ESXi, tornou-se mais fácil para os atacantes encriptar os dados das vítimas.
“As tendências que delineámos no início deste ano parecem estar a ganhar força. Vemos cada vez mais grupos a utilizar linguagens multiplataforma para escrever os seus ataques de ransomware. Isto permite-lhes implementar o seu malware numa variedade de sistemas operativos. O aumento dos ataques às máquinas virtuais ESXi é alarmante e é expectável que mais e mais famílias de ransomware apliquem a mesma estratégia,” comenta Jornt van der Wiel, Security Expert na Kaspersky.