Um sofisticado ataque de ransomware por um grupo cibercriminoso anteriormente desconhecido chamado “DarkBit” teve como alvo a infraestrutura VMware ESXi de uma grande organização, criptografando arquivos críticos de máquinas virtuais e levantando preocupações sobre uma possível guerra cibernética patrocinada pelo Estado.
O incidente, que ocorreu após tensões geopolíticas no final de janeiro de 2023, demonstra como os grupos de ransomware estão cada vez mais visando plataformas de virtualização corporativa para maximizar os danos e a alavancagem.
Linha do tempo do ataque e impacto inicial
O ataque de ransomware DarkBit ocorreu logo após 28 de janeiro de 2023, quando várias instalações iranianas, incluindo uma fábrica de munições em Isfahan e uma refinaria de petróleo em Tabriz, foram alvo de ataques de drones.
O momento do ataque cibernético, combinado com os padrões de comportamento dos invasores, levou os investigadores a suspeitar do envolvimento potencial do estado-nação, em vez do crime cibernético tradicional com motivação financeira.
A organização-alvo, que operava mais de 30 departamentos diferentes com controle centralizado mínimo, encontrou máquinas de endpoint e vários ESXi servidores criptografados com notas de resgate do grupo DarkBit anteriormente desconhecido.
Os invasores demonstraram um direcionamento sofisticado concentrando-se especificamente na infraestrutura VMware ESXi, reconhecendo que os servidores de virtualização geralmente contêm os dados e aplicativos de negócios mais críticos.
Análise Técnica do Ransomware
Pesquisadores de segurança Identificado a principal ferramenta de ataque como “esxi.darkbit”, um executável C++ de 1,5 MB projetado especificamente para atingir servidores VMware ESXi.
O malware utilizou a biblioteca de criptografia Crypto++ e empregou criptografia AES-128-CBC com RSA-2048 para proteção de chave, representando uma implementação tecnicamente sólida, mas falha.
O ransomware opera primeiro interrompendo todas as máquinas virtuais usando as ferramentas de linha de comando ESXi e, em seguida, bifurcando vários processos para criptografar arquivos simultaneamente.
Ele visa especificamente arquivos de disco de máquina virtual (VMDK) e outros formatos de arquivo VMware críticos, anexando o domínio “. DARKBIT” para arquivos criptografados.
Em vez de criptografar arquivos inteiros, o malware usa uma abordagem baseada em partes que torna os arquivos inutilizáveis enquanto reduz o tempo de processamento.
Ao contrário das operações típicas de ransomware focadas em ganhos financeiros, os operadores do DarkBit lançaram uma extensa campanha de influência em várias plataformas, ignorando simultaneamente todas as tentativas de comunicação de vítimas e pesquisadores de segurança.
Esse padrão de comportamento sugeria fortemente motivações além da extorsão monetária, potencialmente indicando objetivos de espionagem ou sabotagem.
Durante a investigação, os especialistas em resposta a incidentes descobriram falhas significativas de implementação no processo de geração de números aleatórios do ransomware.
A geração de sementes do malware dependia de valores previsíveis, incluindo IDs de processo, carimbos de data/hora e endereços de pilha, criando um espaço de chave finito de aproximadamente 2^39 valores possíveis.
Essa descoberta abriu a possibilidade de ataques de descriptografia de força bruta, principalmente porque muitos sistemas afetados tinham a Address Space Layout Randomization (ASLR) habilitada, mas ainda usavam componentes previsíveis na geração de chaves.
A descoberta representa uma rara oportunidade onde os sofisticados ransomware A criptografia pode ser potencialmente derrotada por meio de análise criptográfica em vez de pagamento de resgate.
O incidente do DarkBit destaca a crescente ameaça à infraestrutura de virtualização corporativa e demonstra como as tensões geopolíticas se espalham cada vez mais para o ciberespaço, com a infraestrutura crítica de negócios presa no fogo cruzado.
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIneXpara obter atualizações instantâneas!