O ransomware tem evoluído para atingir alvos cada vez mais estratégicos. Um novo levantamento revela que ataques direcionados a hypervisores, sistemas que gerenciam máquinas virtuais, estão crescendo de forma acelerada, com potencial para comprometer infraestruturas inteiras de TI em poucos minutos. De acordo com a empresa de segurança Huntress, os ataques que envolvem hypervisores representavam cerca de 3% dos casos no início de 2025, mas esse número saltou para 25% no segundo semestre, indicando uma mudança clara no foco dos operadores de ransomware.
A técnica permite que cibercriminosos infectem e paralisem dezenas de máquinas virtuais (VMs) de uma só vez. Os grupos por trás dessas campanhas, como o Akira ransomware gang, têm se aproveitado de falhas conhecidas, más configurações e credenciais fracas em plataformas amplamente utilizadas, como VMware ESXi e Microsoft Hyper-V. Em vez de mirar diretamente servidores ou endpoints, os ataques agora se concentram na camada de virtualização, o que aumenta o impacto e a complexidade da resposta.
Ao comprometer o hypervisor, os atacantes conseguem bypassar soluções de segurança internas das VMs, como antivírus ou EDRs, e aplicar a criptografia diretamente na base do ambiente virtualizado. Isso torna os ataques mais eficazes e, muitas vezes, invisíveis aos mecanismos tradicionais de defesa. Segundo o relatório, muitos dos incidentes foram possíveis devido à falta de hardening nos servidores de virtualização, ausência de autenticação multifator para acessos administrativos e uso de versões desatualizadas dos hypervisores. O comprometimento da camada de virtualização pode levar a interrupções operacionais em larga escala, perda de dados e paralisação de serviços essenciais.
