Descoberto em junho de 2021, o ransomware TargetCompany tem apresentado atividades mais intensas em Taiwan, Índia, Tailândia e Coreia do Sul este ano. Desde sua descoberta, o TargetCompany tem evoluído suas técnicas para contornar as defesas de segurança das organizações, incluindo o uso de scripts PowerShell para burlar a Interface de Varredura Antimalware (AMSI) e abusar de empacotadores ofuscadores totalmente indetectáveis (FUD). Recentemente, a equipe de ameaças da Trend Micro descobriu uma nova variante do ransomware TargetCompany, especificamente direcionada a ambientes Linux. Esta variante utiliza um script shell para entrega e execução do payload, uma técnica que ainda não havia sido observada em variantes anteriores do TargetCompany.

A nova variante do TargetCompany indica que o grupo de ransomware está continuamente evoluindo para empregar métodos mais sofisticados em seus futuros ataques, alinhando-se à tendência recente de grupos de ransomware estenderem seus ataques a ambientes críticos Linux, aumentando potencialmente o alcance de vítimas-alvo. A última variante verifica se o executável está sendo executado com direitos administrativos; caso contrário, não continuará sua rotina maliciosa. Isso indica que um dispositivo comprometido ou vulnerável foi explorado com sucesso para obter direitos administrativos para executar o ransomware. Após sua execução, ele deixa um arquivo de texto chamado TargetInfo.txt que contém informações da vítima. O conteúdo deste arquivo é enviado para um servidor de comando e controle (C&C).

Os atores de ameaça por trás do TargetCompany ampliaram seus alvos para incluir servidores de virtualização, visando causar mais danos e interrupções operacionais. Eles adicionaram a capacidade de detectar se a máquina está sendo executada em um ambiente VMware ESXi, uma plataforma comumente usada para hospedar infraestrutura virtualizada crítica em organizações. A criptografia de servidores ESXi críticos pode aumentar a probabilidade de pagamentos de resgate bem-sucedidos. A infraestrutura usada para entregar o payload e exfiltrar informações do sistema da vítima não havia sido observada em campanhas anteriores do TargetCompany. A pesquisa indica que o endereço IP é hospedado pela China Mobile Communications, um provedor de serviços de internet (ISP) na China. A presença de um certificado HTTPS registrado recentemente e válido por apenas três meses sugere que ele pode ser destinado a uso de curto prazo.