01flip: ransomware escrito em Rust ataca Windows e Linux simultaneamente
Pesquisa divulgada relata a família 01flip como um ransomware multiplataforma escrito em Rust, capaz de operar em ambientes Windows e Linux e projetado para evitar detecção em estágios iniciais.
Descoberta e escopo / O que mudou agora
Analistas da Palo Alto Networks foram citados na reportagem que identificou amostras do 01flip (rastreadas por comportamento e extensão .01flip). A descoberta mostra uso de Rust como linguagem principal e construção de variantes para múltiplas arquiteturas, permitindo implantação simultânea em redes heterogêneas.
Vetor e exploração / Mitigações
O material indica que vetores iniciais permanecem parcialmente obscuros, mas observações apontam exploração de vetores antigos (por exemplo tentativas sobre CVE‑2019‑11580 contra serviços expostos) e uso de frameworks de pós‑exploração para movimentação lateral — incluindo a implantação de uma variante Linux do framework Sliver para persistência e laterais.
- Criptografia: o ransomware emprega AES‑128‑CBC para cifrar arquivos e usa RSA‑2048 para cifrar a chave de sessão, característica que impede recuperação simples mesmo que parte das chaves seja obtida;
- Evasão: versões Linux inicialmente tiveram taxa de detecção nula no VirusTotal por meses, strings relacionadas a Rust foram encontradas nas amostras e mecanismos anti‑sandbox e codificação de strings dificultam análise;
- Mitigações táticas: isolar sistemas críticos, varrer redes comprometidas com ferramentas de EDR/antimalware atualizadas, segmentar serviços expostos e aplicar correções em aplicações vulneráveis; para resiliência, manter backups offline e políticas de resposta a incidentes testadas.
Impacto e alcance / Setores afetados
Relatos iniciais vinculam a campanha a alvos no Ásia‑Pacífico, com foco em operadores de infraestrutura crítica. O uso multiplataforma amplia o risco para ambientes que misturam servidores Linux e estações Windows, especialmente em organizações que não praticam segmentação e controle de privilégios estreitos.
Limites das informações / O que falta saber
Os detalhes públicos ainda não mapeiam um vetor de entrada universal nem quantificam vítimas específicas além de indicações geográficas; não há dados públicos suficientes para estimar número total de afetados ou atribuição direta a um ator crime organizado específico.
Repercussão / Próximos passos
Equipes de segurança devem aplicar varredura por IOCs disponíveis, revisar logs de autenticação e movimento lateral, e ampliar detecção comportamental. Recomenda‑se tratar 01flip como ameaça de alta prioridade dado seu desenho multiplataforma e técnicas de evasão. Informação adicional está disponível na análise da Palo Alto Networks referenciada pela matéria.