Ransomware em hypervisors e backups: a nova fase dos ataques contra médias empresas

Durante muito tempo, a narrativa sobre ransomware girou em torno de arquivos criptografados, notebooks comprometidos e servidores isolados que paravam subitamente. Essa realidade mudou. Em 2025, os grupos de ransomware mais sofisticados não miram mais apenas endpoints ou estações vulneráveis, eles buscam diretamente o hypervisor e a infraestrutura de backup, os dois pilares que sustentam toda a operação digital de uma empresa. Quando esses componentes caem, nenhuma camada acima sobrevive. 

Esse deslocamento de foco se deve a um motivo simples: eficiência. Um hypervisor concentra dezenas de sistemas essenciais. Derrubar a camada de virtualização significa desligar simultaneamente ERP, banco de dados, Active Directory, arquivos, e-mail, sistemas de vendas e aplicações internas. Para um atacante, comprometer um único ESXi, Hyper-V ou Nutanix AHV é mais rápido e mais devastador do que comprometer máquina por máquina. 

Nos últimos meses, esse modelo se consolidou. A CISA, o FBI e diversos centros de pesquisa vêm alertando para a explosão de campanhas voltadas à virtualização. O caso do ESXiArgs foi só o início: desde então, surgiram ataques coordenados contra VMware ESXi, Hyper-V e Nutanix AHV, alguns deles explorando vulnerabilidades conhecidas, outros operando com técnicas de engenharia social ou credenciais vazadas. A tendência mais significativa é que, ao mesmo tempo em que atacam o hypervisor, esses grupos também buscam destruir os mecanismosde backup, removendo snapshots, apagando repositórios, diminuindo retenções e desabilitando imutabilidade. Em outras palavras: eles não querem apenas criptografar, querem impedir qualquer possibilidade de recuperação. 

Nenhum grupo exemplifica melhor essa evolução do que o Akira. Originalmente focado em endpoints e ambientes Windows, o Akira se transformou em uma operação complexa. Hoje, ele explora falhas em appliances de VPN e firewall, como a vulnerabilidade crítica CVE-2024-40766 em SonicWall SonicOS, para obter acesso inicial. A partir daí, procura diretamente o ambiente de virtualização: mapeia vCenter, hosts ESXi, Hyper-V Manager e clusters Nutanix. Quando encontra, habilita acessos administrativos, ganha controle sobre snapshots e inicia processos de desligamento e criptografia em massa. Paralelamente, invade servidores de backup, muitas vezes explorando brechas conhecidas em plataformas como Veeam, e desativa ou apaga as cópias que poderiam salvar a empresa. 

Esse modelo é particularmente grave para médias empresas, que representam grande parte do mercado brasileiro e o perfil típico atendido pela Setrix. Ao contrário de grandes corporações com infraestrutura distribuída, ambientes redundantes e equipes segmentadas, a médiaempresa costuma depender de poucos hosts de virtualização, muitas vezes concentrados em um único rack. Nesses cenários, um único ataque ao hypervisor derruba toda a operação de uma vez. Não há “degrau intermediário”: quando a virtualização para, a empresa para junto. 

Além disso, a gestão de backups em organizações desse porte, embora dedicada e responsável, tende a enfrentar limitações: ferramentas centralizadas rodando em um servidor de domínio, repositórios acessíveis pela própria rede de produção, ausência de imutabilidade ou air gap, e testes de restauração que raramente simulam a perda completa de um host. Isso cria uma falsa sensação de segurança, e é exatamente essa brecha que os invasores exploram. 

Mas há caminhos realistas e eficazes para romper esse ciclo. O primeiro deles é a segmentação da camada de gerenciamento do hypervisor. Isso significa tratar vCenter, ESXi, Hyper-V e Nutanix como ativos de alta criticidade, isolando-os em redes específicas, com acesso limitado, autenticado e monitorado. O hypervisor não pode estar acessível pela mesma VPN que os usuários utilizam para trabalhar, nem deve compartilhar credenciais com outros sistemas. Essa separação simples, que não exige grandes investimentos, reduz enormemente a capacidade de movimento lateral do atacante. 

Outro pilar essencial é a separação de credenciais. Um dos fatores mais comuns nos ataques recentes é a presença de contas “coringa”: um único usuário com permissão para administrar virtualização, backups, storage, domínio e rede. Isso cria um risco sistêmico. A maturidadeoperacional exige dividir funções e aplicar MFA robusto, idealmente com elevação de privilégios apenas quando estritamente necessário. 

Na camada de backup, a transformação precisa ser ainda mais profunda. Backups tradicionais, armazenados em servidores Windows com acesso permanente e sem imutabilidade, não resistem à nova geração de ransomware. A recomendação já é consenso global: cópias imutáveis, air-gapped ou offline, com retenção que não possa ser alterada mesmo por administradores comprometidos. A lógica é clara: se o invasor não consegue destruir o backup, o resgate perde valor e a empresa recupera o controle. 

Por fim, há uma peça que fecha todo o quebra-cabeça: o monitoramento contínuo. Ataques contra hypervisors e backup deixam sinais muito específicos, diferentes daqueles vistos em endpoints. Logins inesperados no vCenter, habilitação indevida de SSH em ESXi, exclusão de snapshots, desativação de jobs de backup, redução súbita de retenção e comportamentos administrativos fora de horário são indícios críticos. Um MDR moderno precisa correlacionar esses elementos com eventos de VPN, identidade e endpoint para agir antes que a criptografia emmassa aconteça. 

O ransomware não desapareceu, ele evoluiu. E, hoje, a sua maior força está na capacidade de comprometer a infraestrutura ao invés de apenas os sistemas. Para as médias empresas, entender essa mudança é fundamental. Para a Setrix, o papel é claro: ajudar nossos clientes a navegar essa nova fase com clareza, resiliência e práticas que realmente funcionam diante de atacantes que não param de se reinventar. 

Em 2025, proteger arquivos não basta. Proteger hypervisors e backups é o que define se uma empresa continua funcionando no dia seguinte a um ataque ou se para completamente. E essa diferença começa com decisão, estratégia e visibilidade. 

Fontes 

CISA; FBI; HHS; parceiros internacionais. #StopRansomware: Akira Ransomware (AA24-109A). 

TechRadar Pro. Akira ransomware is now targeting Nutanix VMs – and scoring big rewards. 

CISA; FBI. ESXiArgs Ransomware Virtual Machine Recovery Guidance (AA23-039A). 

Microsoft. Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption. 

Cloud Security Alliance (CSA). From Retail Floors to Virtual Cores: ESXi is the Next Attack Vector in Retail e ESXi Ransomware: The Growing Threat to Virtualized Environments (2025). 

Google Threat Intelligence / UNC3944 (Scattered Spider). From Help Desk to Hypervisor: Defending Your VMware vSphere Infrastructure from UNC3944. 

Veeam Software. New Veeam Research Finds 93% of Cyber Attacks Target Backup Storage to Force Ransom Payment. 

Intel471; Orange Cyberdefense. An Analysis of the VMware ESXi Ransomware Blitz e Mass exploitation of ESXi hosts, 2023. 

Cloud Security Alliance. The 99% Solution: MFA for Hypervisor Security, 2025.