A operação de ransomware RansomHub está utilizando um criptografador Linux específico para ambientes VMware ESXi em ataques corporativos. Desde seu lançamento em fevereiro de 2024, o RansomHub tem associações com os ransomwares ALPHV/BlackCat e Knight, e já fez mais de 45 vítimas em 18 países.

O criptografador ESXi foi detectado em abril de 2024 e, diferentemente das versões para Windows e Linux, que são escritas em Go, a versão ESXi é um programa em C++, provavelmente derivado do agora extinto ransomware Knight. Essa ferramenta é projetada para criptografar apenas parcialmente os arquivos relacionados ao ESXi, como ‘.vmdk’, ‘.vmx’ e ‘.vmsn’, para melhorar o desempenho do ataque.

As empresas têm adotado amplamente o uso de máquinas virtuais para melhor gerenciar recursos de CPU, memória e armazenamento. Devido a essa adoção crescente, muitas gangues de ransomware desenvolveram criptografadores dedicados para servidores VMware ESXi, incluindo o RansomHub.

O criptografador ESXi do RansomHub suporta várias opções de linha de comando, como definir um atraso na execução, especificar quais VMs devem ser excluídas da criptografia e quais diretórios devem ser alvo. Além disso, ele desabilita serviços críticos, como syslog, para dificultar a detecção e o registro da atividade maliciosa.