Um ransomware capaz de cruzar fronteiras entre sistemas
Pesquisadores da Trend Micro identificaram uma nova variante do Agenda Ransomware — também conhecido como Qilin — que marca um salto preocupante na evolução dos ataques de sequestro de dados.Diferente das versões anteriores, essa nova amostra é escrita para Linux, mas executa dentro de sistemas Windows, aproveitando camadas como o Windows Subsystem for Linux (WSL) e técnicas de carregamento lateral (DLL sideloading) para escapar de defesas tradicionais.
Com essa abordagem híbrida, o ransomware invade ambientes corporativos mistos — onde servidores Linux e hosts Windows coexistem — e criptografa dados críticos sem acionar detecções baseadas em sistema operacional.
“Computadores interligados com logos do Windows e Linux sendo conectados por uma corrente digital quebrada.”
Como funciona o ataque: da infiltração ao sequestro
1. Acesso inicial via RMMs comprometidos
Os agentes maliciosos exploram ferramentas legítimas de gerenciamento remoto (RMM) como AnyDesk, RustDesk e ScreenConnect, frequentemente instaladas por técnicos ou prestadores terceirizados.Esses acessos são abusados para:
net user Suporte ***** /add
net localgroup Administradores Suporte /add
Criando assim contas administrativas falsas para persistência e controle total do sistema.
2. Movimentação lateral e persistência
Após o comprometimento, os invasores instalam PuTTY SSH sob nomes genéricos (1.exe, 2.exe, test.exe), abrindo conexões internas entre servidores.O ransomware também executa binários Linux em hosts Windows, ampliando sua superfície de ataque em redes híbridas e ambientes virtualizados (Nutanix, VMware, Hyper-V).
BYOVD: o truque que derruba antivírus e EDR
Uma das armas mais perigosas usadas pela campanha é a técnica BYOVD (Bring Your Own Vulnerable Driver).O Agenda instala drivers legítimos, mas vulneráveis, para obter privilégios de kernel e desativar defesas de segurança como antivírus e EDRs.
Os arquivos identificados pela Trend Micro incluem:
-
eskle.sys
-
hlpdrv.sys
-
rwdrv.sys
Esses drivers são carregados lateralmente por msimg32.dll no diretório temporário do Windows, permitindo escalar privilégios e ocultar a presença do ransomware.
Segundo a Trend Micro, o driver “eskle.sys” é capaz de detectar máquinas virtuais, impedir depuração e encerrar processos de segurança em tempo real.
Nota de resgate e duplo sequestro de dados
Após criptografar os arquivos, o ransomware exibe uma nota de resgate idêntica às campanhas anteriores, com links para domínios .onion.A estratégia segue o modelo double extortion — criptografando e ameaçando divulgar dados confidenciais se o resgate não for pago.
Essa tática coloca ainda mais pressão sobre as vítimas, especialmente empresas com dados de clientes ou propriedade intelectual sensível.
Evolução técnica: foco em virtualização e multiplataforma
A Trend Micro também detectou rotinas adicionais de verificação de sistema operacional:
-
Detecção de ambientes Linux, Windows e Nutanix.
-
Ajustes sutis na rotina de registro de logs, indicando evolução no builder do ransomware.
Essa flexibilidade mostra que o grupo Agenda/Qilin está migrando para uma abordagem “cross-platform”, adaptando-se a ambientes corporativos híbridos e virtualizados.
Impacto global e setores mais afetados
Desde janeiro de 2025, o Agenda Ransomware tem atingido empresas em:
-
América do Norte
-
Europa
-
Sudeste Asiático
Os setores mais impactados incluem:
-
Saúde e biotecnologia
-
Indústria e manufatura
-
Educação
-
Serviços de TI e provedores de nuvem
Essa expansão global reforça o foco do grupo em infraestruturas críticas e ambientes de alta disponibilidade.
Como proteger sua empresa contra o Agenda Ransomware
A Trend Micro e especialistas da Iceberg Security recomendam cinco pilares de defesa essenciais:
1. Controle rígido de RMMs
-
Restrinja plataformas de gerenciamento remoto a hosts autorizados.
-
Exija MFA (autenticação multifator) e monitore logins fora do expediente.
-
Limite scripts e binários permitidos por endpoint.
2. Segmente e proteja backups
-
Separe as redes de backup da rede principal.
-
Rotacione credenciais administrativas e use tokens temporários.
-
Monitore PowerShell e consultas SQL suspeitas.
3. Mitigue ataques BYOVD
-
Bloqueie drivers não assinados ou inesperados.
-
Detecte carregamento lateral (DLL sideloading).
-
Expanda regras do EDR para binários Linux executados em Windows.
4. Monitore ambientes híbridos
-
Garanta que o SOC/EDR capture telemetria de Windows e Linux.
-
Detecte movimentos laterais internos antes da fase de criptografia.
5. Fortaleça a autenticação
-
Implante MFA resistente a phishing e políticas de acesso condicional.
-
Analise o uso anômalo de tokens e sessões privilegiadas.
Lições de cibersegurança: o futuro é híbrido
A nova variante do Agenda Ransomware confirma uma tendência clara:
Os ataques modernos não respeitam fronteiras entre sistemas operacionais.
A fronteira entre Windows e Linux está se tornando invisível para os grupos criminosos, e as empresas precisam adotar defesas unificadas que cubram ambos os ambientes — on-premises e em nuvem.
O Agenda Ransomware representa a consolidação de um novo paradigma: ransomware híbrido e multiplataforma, que mistura técnicas de administração legítimas com vulnerabilidades de drivers para escapar de detecção.
Empresas que ainda tratam segurança de Windows e Linux de forma isolada estão vulneráveis a ataques desse tipo.A recomendação é clara: unificar visibilidade, aplicar MFA, monitorar RMMs e mitigar BYOVD.
