Google alerta sobre ransomware em sistemas VMware sequestrados

São Paulo — InkDesign News — Em 2025, um grupo de hackers conhecido como Scattered Spider está conduzindo uma campanha cibernética agressiva, explorando vulnerabilidades em Active Directory e atacando ambientes VMware vSphere para implantar ransomware e exfiltrar dados sensíveis.

Incidente e vulnerabilidade

A operação do Scattered Spider, identificada pela Google’s Threat Intelligence Group (GTIG), utiliza engenharia social para comprometer contas do Active Directory. Esse método inclui a imitação de funcionários para enganar agentes de help desk a resetar senhas. Essa tática permite aos atacantes realizar uma exploração em cinco fases, culminando no controle total do vCenter Server e na execução de manobras perigosas no nível do hypervisor.

Atuam sob o radar de ferramentas de segurança tradicionais, como EDR, que frequentemente não possuem visibilidade adequada sobre a infraestrutura subjacente, como o ESXi e o vCenter Server Appliance.

Impacto e resposta

As consequências dessa abordagem são severas, pois os atacantes obtêm “acesso físico virtual” aos servidores e podem manipular sistemas críticos. O ataque culmina em um comprometimento geral das máquinas virtuais, com a execução de ransomware que criptografa arquivos de modo direto. Além disso, há uma destruição intencional de backups, dificultando a recuperação.

A inteligência da GTIG indica que a totalidade do ataque, desde o acesso inicial até a implementação do ransomware, pode ser concluída em questão de horas.
(“The entire attack, from initial access to ransomware deployment, can occur in mere hours.”)

— Google’s Threat Intelligence Group

Mitigações recomendadas

Para se proteger contra essas táticas, as organizações devem adotar uma estratégia de defesa centrada na infraestrutura. Isso inclui a verificação rigorosa de identidade, o fortalecimento de sistemas VMware, a integridade de backups e a monitorização contínua. As instituições devem implementar processos que validem a identidade de quem está solicitando mudanças em contas críticas.

“Ataques de engenharia social podem ser prevenidos com treinamento adequado e um processo de validação que assegure a identidade do interlocutor.”
(“Social engineering attacks can be prevented with proper training and a challenge process to validate the caller is who they say they are.”)

— Thomas Richards, Diretor de Prática de Segurança de Infraestrutura na Black Duck

À medida que as técnicas de ataque evoluem, permanecem riscos residuais que exigem uma resposta proativa. Organizações precisam estar vigilantes e preparar seus ambientes virtuais contra essas ameaças cada vez mais sofisticadas.

Fonte: (Hack Read – Segurança Cibernética)