Pesquisadores identificaram uma atualização técnica no RansomHouse, um serviço de ransomware-as-a-service (RaaS) operado por um grupo rastreado como Jolly Scorpius, que agora combina roubo de dados com criptografia direcionada a ambientes virtualizados.
O que foi observado
Analistas da Palo Alto Networks (Unit42) documentaram que a operação do RansomHouse foi aprimorada para atacar hypervisors VMware ESXi, permitindo que os operadores criptem múltiplas máquinas virtuais a partir do hipervisor comprometido. O objetivo técnico é maximizar impacto operacional e pressão para extorsão.
Componentes e mudanças técnicas
- MrAgent: componente de gerenciamento e implantação responsável por persistência, identificação de hosts e orquestração do processo de criptografia em ambiente ESXi.
- Mario: o encryptor, atualizado para um processo em duas fases que usa chaves primárias e secundárias e aplicativos de processamento fragmentado (chunked/sparse), dificultando a análise estática e a recuperação direta de dados.
Vetor e alvos específicos
Mario passou a focar extensões específicas de virtualização (VMDK, VMEM, VMSD, VMSN, VSWP) e arquivos de backup Veeam. O encryptor aplica extensões que contêm “mario” (por exemplo, ".emario") aos arquivos afetados.
Escopo e histórico
Desde dezembro de 2021, o grupo atribuído à operação RansomHouse teria visado pelo menos 123 organizações em setores críticos como saúde, finanças, transporte e governo. A estratégia dupla — roubo seguido de criptografia — intensifica a pressão sobre vítimas que podem ver dados exfiltrados usados para chantagem mesmo quando backups existam.
Implicações para defensores
- Priorizar proteção de infraestruturas de virtualização: segmentação de rede, controles de acesso a consoles de gerenciamento (vCenter/ESXi) e autenticação forte para interfaces administrativas.
- Harden de backups: isolar cópias de backup offline ou em air-gapped, verificar integridade e preservar cópias imutáveis onde possível.
- Detecção: monitorar indicadores de persistência e ferramentas de orquestração automatizada que coordenam criptografia em múltiplas VMs.
O que falta e incertezas
Os detalhes sobre vetores iniciais de compromisso (exato mecanismo de acesso inicial) não foram completamente divulgados no resumo público; tampouco há lista completa de vítimas confirmadas pela fonte aberta citada. A Unit42 fornece análise técnica — equipes de CSIRT/IR devem cruzar IOC locais com essas assinaturas.
Conclusão
A evolução do RansomHouse ilustra a tendência de operadores ransomware que priorizam comprometer camadas de infraestrutura (hypervisors) para causar efeito cascata em ambientes virtualizados. Defensores precisam revisar controles sobre componentes de virtualização e estratégias de recuperação de desastres.