0
0
Pelo menos um grande grupo cibercriminoso de ransomware está explorando de vulnerabilidades no produto VMWare ESXi. Assim, eles assumem o controle de máquinas virtuais em ambientes corporativos. Objetivo é criptografar os discos rígidos virtuais. Esses ataques não são necessariamente novos. São registrados pelo menos desde outubro passado. Os cibercriminosos implantaram o ransomware RansomExx.
Os invasores usaram CVE-2019-5544 e CVE-2020-3992, duas vulnerabilidades no VMware ESXi. Trata-se de uma solução de hipervisor que permite que várias máquinas virtuais compartilhem o mesmo armazenamento no disco rígido. Ambos os bugs afetam o Service Location Protocol (SLP). Este é um protocolo usado por dispositivos na mesma rede para descobrir uns aos outros; também incluído no ESXi.
Cibercriminosos usam ransomware para atacar VMWare ESXi e criptografar discos rígidos virtuais
As vulnerabilidades permitem que um invasor na mesma rede envie solicitações SLP maliciosas para um dispositivo ESXi. Então, assumem o controle dele. Isso ocorre mesmo que o invasor não tenha comprometido o servidor VMWare vCenter ao qual as instâncias ESXi geralmente se reportam.
Em ataques que ocorreram no ano passado, a gangue RansomExx obteve acesso a um dispositivo em uma rede corporativa. A partir deste ponto, atacaram instâncias ESXi locais. Então, criptografaram os discos rígidos virtuais, usados ??para armazenar dados de máquinas virtuais. Assim, causaram grandes problemas para as empresas. É que os discos virtuais ESXi geralmente servem ??para centralizar dados de vários outros sistemas.
Por enquanto, apenas a gangue RansomExx (ou Defray777) foi vista usando desse truque. Porém, no mês passado, o operador do ransomware Babuk Locker também anunciou um recurso semelhante. Neste caso, entretanto, o ataque não obteve confirmação.
Além disso, os agentes de ameaças também observaram a venda de acesso a instâncias do ESXi em fóruns clandestinos de crimes cibernéticos. A informação é d da empresa de inteligência de ameaças KELA.
Os administradores de sistema em empresas que dependem do VMWare ESXi para gerenciar o espaço de armazenamento das máquinas virtuais devem aplicar os patches ESXi. Do mesmo modo, outra opção é desativar o suporte a SLP para evitar ataques se o protocolo não for necessário.
FONTE: SEMPRE UPDATE