O ransomware Qilin, uma operação de cibercrime que começou como “Agenda” em agosto de 2022 e foi renomeada para Qilin em setembro do mesmo ano, está agora focando em servidores VMware ESXi.

Este ransomware é conhecido por invadir redes de empresas, roubar dados e espalhar-se lateralmente para outros sistemas antes de implantar o ransomware para criptografar todos os dispositivos na rede.

O Qilin utiliza técnicas avançadas de criptografia e é capaz de determinar se está operando em um servidor Linux, FreeBSD ou VMware ESXi. Se detectar um servidor VMware ESXi, executa comandos específicos para aumentar o desempenho ao executar comandos ESXi no servidor.

Os comandos utilizados pelo Qilin incluem a criação e exclusão de discos virtuais e a configuração de parâmetros de desempenho do servidor. Antes de criptografar as máquinas virtuais detectadas, o ransomware primeiro encerra todas as VMs e exclui seus snapshots.

As demandas de resgate do Qilin variam em torno de $25.000 milhões de dólares. Em cada pasta criptografada, uma nota de resgate é criada, contendo links para o site de negociação do ransomware na rede Tor e as credenciais de login necessárias para acessar a página de chat da vítima.

Desde o seu lançamento, a operação de ransomware Qilin teve um fluxo constante de vítimas, mas viu um aumento na atividade em direção ao final de 2023.

Por isso é importante sempre ter uma empresa especializada em cibersegurança para cuidar de seus servidores e aplicações, conheça os serviços de cibersegurança da HackerSec: https://hackersec.com/empresas/