O ransomware em ambiente virtualizado é hoje um dos ataques mais destrutivos contra empresas. Além disso, um único acesso ao hipervisor derruba dezenas de VMs de uma vez. Neste artigo, você entende por que a virtualização virou alvo e, na sequência, como recuperar tudo sem pagar resgate.
Ransomware em ambiente virtualizado: por que os hipervisores são alvo
Atacar a virtualização compensa muito para o criminoso. Com um único acesso ao VMware, ao Hyper-V ou ao Proxmox, ele criptografa todas as VMs ao mesmo tempo. Dessa forma, o impacto chega ao máximo com o menor esforço.
No entanto, esse mesmo modelo abre oportunidades de recuperação. Isso acontece porque os discos virtuais são grandes. Por isso, o ransomware raramente criptografa cada um por inteiro. Portanto, sobra dado recuperável em quase todos os casos.
Como o ataque atinge cada plataforma
O padrão muda conforme o hipervisor:
- VMware — o ransomware criptografa VMDK, VMX e o datastore VMFS
- Hyper-V — o ataque atinge os discos VHDX e AVHDX no host
- Proxmox — a ameaça alcança QCOW2, RAW, LVM e ZFS
De fato, cada formato exige uma técnica própria. Contudo, o princípio permanece o mesmo: reconstruir a VM a partir do que sobrou intacto.
Ransomware em ambiente virtualizado: recuperação sem pagar resgate
A Crowdertech nunca negocia com quem sequestra os seus dados. Em vez disso, aplicamos engenharia reversa ao padrão do ransomware. Depois, reconstruímos os discos virtuais e recuperamos servidores, bancos e aplicações.
Além disso, pouquíssimas empresas no mundo dominam essa capacidade. Ou seja, entregamos os dados sem financiar o crime.
Perguntas frequentes
E se o ransomware criptografou o datastore inteiro?
Na maioria dos casos, a recuperação continua possível. Afinal, a criptografia costuma ser parcial e preserva grande parte de cada disco.
Preciso pagar para ter as VMs de volta?
Não, de forma alguma. Na verdade, o nosso método existe justamente para você não depender do atacante.
Conclusão
O ransomware em ambiente virtualizado assusta. Contudo, a recuperação se torna viável quando você preserva o ambiente a tempo. Em resumo, isole o hipervisor, mantenha os discos intactos e busque ajuda técnica. Sofreu um ataque no seu ambiente virtual? Então fale com a Crowdertech, que recupera VMs por engenharia reversa, sem pagar resgate. Veja também recuperação de VM.
Fontes: CISA StopRansomware · No More Ransom.