Cibercriminosos usam ransomware para atacar VMWare ESXi e criptografar discos rígidos virtuais

Views: 82
0 0
Read Time:1 Minute, 47 Second

Pelo menos um grande grupo cibercriminoso de ransomware está explorando de vulnerabilidades no produto VMWare ESXi. Assim, eles assumem o controle de máquinas virtuais em ambientes corporativos. Objetivo é criptografar os discos rígidos virtuais. Esses ataques não são necessariamente novos. São registrados pelo menos desde outubro passado. Os cibercriminosos implantaram o ransomware RansomExx.

Os invasores usaram CVE-2019-5544 e CVE-2020-3992, duas vulnerabilidades no VMware ESXi. Trata-se de uma solução de hipervisor que permite que várias máquinas virtuais compartilhem o mesmo armazenamento no disco rígido. Ambos os bugs afetam o Service Location Protocol (SLP). Este é um protocolo usado por dispositivos na mesma rede para descobrir uns aos outros; também incluído no ESXi.

Cibercriminosos usam ransomware para atacar VMWare ESXi e criptografar discos rígidos virtuais

As vulnerabilidades permitem que um invasor na mesma rede envie solicitações SLP maliciosas para um dispositivo ESXi. Então, assumem o controle dele. Isso ocorre mesmo que o invasor não tenha comprometido o servidor VMWare vCenter ao qual as instâncias ESXi geralmente se reportam.

Em ataques que ocorreram no ano passado, a gangue RansomExx obteve acesso a um dispositivo em uma rede corporativa. A partir deste ponto, atacaram instâncias ESXi locais. Então, criptografaram os discos rígidos virtuais, usados ??para armazenar dados de máquinas virtuais. Assim, causaram grandes problemas para as empresas. É que os discos virtuais ESXi geralmente servem ??para centralizar dados de vários outros sistemas.

Por enquanto, apenas a gangue RansomExx (ou Defray777) foi vista usando desse truque. Porém, no mês passado, o operador do ransomware Babuk Locker também anunciou um recurso semelhante. Neste caso, entretanto, o ataque não obteve confirmação. 

Além disso, os agentes de ameaças também observaram a venda de acesso a instâncias do ESXi em fóruns clandestinos de crimes cibernéticos. A informação é d da empresa de inteligência de ameaças KELA

Os administradores de sistema em empresas que dependem do VMWare ESXi para gerenciar o espaço de armazenamento das máquinas virtuais devem aplicar os patches ESXi. Do mesmo modo, outra opção é desativar o suporte a SLP para evitar ataques se o protocolo não for necessário.

FONTE: SEMPRE UPDATE

Previous post Empresa paga milhões para recuperar arquivos de ransomware, mas esquece um detalhe
Next post Extorsão e ransomwares ainda mais perigosos são tendências de ameaças para 2021

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *