Ataques de ransomware direcionados à infraestrutura VMware ESXi seguem um padrão estabelecido, independentemente do malware usado para criptografar arquivos, conforme mostram novas descobertas. Plataformas de virtualização são um componente central da infraestrutura de TI das organizações, mas muitas vezes sofrem de configurações inadequadas e vulnerabilidades inerentes, tornando-as um alvo lucrativo e altamente eficaz para atores de ameaças.

Segundo pesquisas envolvendo várias famílias de ransomware como LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat e Cheerscrypt, descobriu que os ataques a ambientes de virtualização seguem uma sequência de ações semelhante. Para mitigar os riscos impostos por essas ameaças, recomenda-se que as organizações garantam monitoramento e registro adequados, criem mecanismos de backup robustos, imponham medidas de autenticação fortes, reforcem o ambiente e implementem restrições de rede para prevenir movimentos laterais.

Este desenvolvimento ocorre enquanto a empresa de cibersegurança Rapid7 alerta para uma campanha em andamento desde o início de março de 2024 que utiliza anúncios maliciosos em mecanismos de busca comumente usados para distribuir instaladores trojanizados para WinSCP e PuTTY via domínios de typosquatting, levando eventualmente à instalação de ransomware. Esses instaladores falsos atuam como um canal para inserir o toolkit de pós-exploração Sliver, que é então usado para entregar mais cargas, incluindo um Beacon Cobalt Strike utilizado para a implantação de ransomware.