Ransomware em ambiente virtualizado: recuperação de VMs

ransomware em ambiente virtualizado com VMs criptografadas no hipervisor

O ransomware em ambiente virtualizado é hoje um dos ataques mais destrutivos contra empresas. Além disso, um único acesso ao hipervisor derruba dezenas de VMs de uma vez. Neste artigo, você entende por que a virtualização virou alvo e, na sequência, como recuperar tudo sem pagar resgate.

Ransomware em ambiente virtualizado: por que os hipervisores são alvo

Atacar a virtualização compensa muito para o criminoso. Com um único acesso ao VMware, ao Hyper-V ou ao Proxmox, ele criptografa todas as VMs ao mesmo tempo. Dessa forma, o impacto chega ao máximo com o menor esforço.

No entanto, esse mesmo modelo abre oportunidades de recuperação. Isso acontece porque os discos virtuais são grandes. Por isso, o ransomware raramente criptografa cada um por inteiro. Portanto, sobra dado recuperável em quase todos os casos.

Como o ataque atinge cada plataforma

O padrão muda conforme o hipervisor:

  • VMware — o ransomware criptografa VMDK, VMX e o datastore VMFS
  • Hyper-V — o ataque atinge os discos VHDX e AVHDX no host
  • Proxmox — a ameaça alcança QCOW2, RAW, LVM e ZFS

De fato, cada formato exige uma técnica própria. Contudo, o princípio permanece o mesmo: reconstruir a VM a partir do que sobrou intacto.

Ransomware em ambiente virtualizado: recuperação sem pagar resgate

A Crowdertech nunca negocia com quem sequestra os seus dados. Em vez disso, aplicamos engenharia reversa ao padrão do ransomware. Depois, reconstruímos os discos virtuais e recuperamos servidores, bancos e aplicações.

Além disso, pouquíssimas empresas no mundo dominam essa capacidade. Ou seja, entregamos os dados sem financiar o crime.

Perguntas frequentes

E se o ransomware criptografou o datastore inteiro?
Na maioria dos casos, a recuperação continua possível. Afinal, a criptografia costuma ser parcial e preserva grande parte de cada disco.

Preciso pagar para ter as VMs de volta?
Não, de forma alguma. Na verdade, o nosso método existe justamente para você não depender do atacante.

Conclusão

O ransomware em ambiente virtualizado assusta. Contudo, a recuperação se torna viável quando você preserva o ambiente a tempo. Em resumo, isole o hipervisor, mantenha os discos intactos e busque ajuda técnica. Sofreu um ataque no seu ambiente virtual? Então fale com a Crowdertech, que recupera VMs por engenharia reversa, sem pagar resgate. Veja também recuperação de VM.

Fontes: CISA StopRansomware · No More Ransom.