Investigadores da Kaspersky descobriram um novo grupo de ransomware que vem reforçar ainda mais a tendência já instalada de utilizar ransomware multiplataforma. O grupo, apelidado de Luna, utiliza Rust, linguagem de programação que foi anteriormente utilizada pelos gangs BlackCat e Hive e que permite migrar facilmente malware de um sistema operativo para outro. Esta descoberta, entre outras, faz parte do recente relatório sobre crimeware disponível na Securelist by Kaspersky.
O grupo Luna implementa malware escrito em Rust, cujas capacidades multiplataforma permitem ao grupo visar sistemas Windows, Linux e ESXi de uma só vez.
“As tendências que delineámos no início deste ano parecem estar a ganhar força. Vemos cada vez mais grupos a utilizar linguagens multiplataforma para escrever os seus ataques de ransomware. Isto permite-lhes implementar o seu malware numa variedade de sistemas operativos. O aumento dos ataques às máquinas virtuais ESXi é alarmante e é expectável que mais e mais famílias de ransomware apliquem a mesma estratégia,” comenta Jornt van der Wiel, Security Expert na Kaspersky.
O anúncio na Dark Web, identificado pela Kaspersky, afirma que o Luna só trabalha com afiliados fluentes em russo. Além disso, a nota de resgate codificada no binário contém alguns erros ortográficos – o que leva a Kaspersky a concluir que o grupo pode ser russo. Uma vez que o Luna é um grupo descoberto recentemente, ainda há poucos dados sobre as suas vítimas. A Kaspersky está a seguir ativamente a sua atividade.
Como a investigação de Kaspersky demonstrou, tanto o Luna como o Black Basta estão a visar sistemas ESXi, bem como Windows e Linux, o que é mais uma tendência de ransomware de 2022. ESXi é um hipervisor que pode ser utilizado independentemente em qualquer sistema operativo. Uma vez que muitas empresas migraram para máquinas virtuais baseadas em ESXi, tornou-se mais fácil para os atacantes encriptar os dados das vítimas.