0
0
A Sophos lançou detalhes de um novo ransomware escrito em Python que os atacantes usaram para comprometer e criptografar máquinas virtuais hospedadas em um hipervisor ESXi. O relatório detalha uma operação semelhante a um franco-atirador que levou menos de três horas para progredir da violação para a criptografia.
“Este é um dos ataques de ransomware mais rápidos que a Sophos já investigou e pareceu direcionar com precisão a plataforma ESXi”, disse Andrew Brandt, pesquisador principal da Sophos.
“Python é uma linguagem de codificação não comumente usada para ransomware. No entanto, o Python é pré-instalado em sistemas baseados em Linux, como o ESXi, e isso possibilita ataques baseados em Python em tais sistemas. Os servidores ESXi representam um alvo atraente para os atores de ameaças de ransomware porque podem atacar várias máquinas virtuais de uma só vez, onde cada uma das máquinas virtuais pode estar executando aplicativos ou serviços críticos para os negócios. Ataques a hipervisores podem ser rápidos e altamente disruptivos. Operadores de ransomware, incluindo DarkSide e REvil, têm como alvo servidores ESXi em ataques.”
Linha do tempo de ataque do ransomware de hipervisor ESXi
A investigação revelou que o ataque começou às 12:30 de um domingo, quando os operadores de ransomware invadiram uma conta TeamViewer em execução em um computador que pertencia a um usuário que também tinha credenciais de acesso de administrador de domínio.
De acordo com os investigadores, 10 minutos depois, os atacantes usaram a ferramenta Advanced IP Scanner para procurar alvos na rede. Os investigadores acreditam que o ESXi Server na rede era vulnerável porque tinha um Shell ativo, uma interface de programação que as equipes de TI usam para comandos e atualizações. Isso permitiu que os atacantes instalassem uma ferramenta segura de comunicação de rede chamada Bitvise na máquina pertencente ao administrador do domínio, o que lhes deu acesso remoto ao sistema ESXi, incluindo os arquivos de disco virtual usados pelas máquinas virtuais. Por volta das 3:40 da manhã, os atacantes implantaram o ransomware e criptografaram esses discos rígidos virtuais hospedados no servidor ESXi.
Conselhos de segurança
“Os administradores que operam o ESXi ou outros hipervisores em suas redes devem seguir as melhores práticas de segurança. Isso inclui o uso de senhas únicas e difíceis de força bruta e impor o uso de autenticação multifatorial sempre que possível”, disse Brandt.
“O ESXi Shell pode e deve ser desativado sempre que não estiver sendo usado pela equipe para manutenção de rotina, por exemplo, durante a instalação de patches. A equipe de TI pode fazer isso usando controles no console do servidor ou através das ferramentas de gerenciamento de software fornecidas pelo fornecedor.”
As seguintes práticas recomendadas padrão são recomendadas para ajudar a se defender contra ransomware e ataques cibernéticos relacionados.
Em um nível estratégico
Implante proteção em camadas. À medida que mais ataques de ransomware começam a envolver extorsão, os backups permanecem necessários, mas insuficientes. É mais importante do que nunca manter os adversários fora em primeiro lugar, ou detectá-los rapidamente, antes que causem danos. Use proteção em camadas para bloquear e detectar atacantes no maior número possível de pontos em uma propriedade.
Combine especialistas humanos e tecnologia anti-ransomware. A chave para parar o ransomware é a defesa em profundidade que combina tecnologia anti-ransomware dedicada e caça a ameaças liderada por humanos. A tecnologia fornece a escala e a automação de que uma organização precisa, enquanto especialistas humanos são mais capazes de detectar as táticas, técnicas e procedimentos reveladores que indicam que um invasor está tentando entrar no ambiente. Se as organizações não tiverem as habilidades internas, poderão obter apoio de especialistas em segurança cibernética.
Em um nível tático do dia-a-dia
Monitore e responda a alertas. Garanta que as ferramentas, processos e recursos (pessoas) apropriados estejam disponíveis para monitorar, investigar e responder às ameaças vistas no ambiente. Os atacantes de ransomware geralmente cronometram seus ataques fora do horário de pico, nos fins de semana ou durante as férias, assumindo que poucos ou nenhum funcionário está assistindo.
Defina e imponha senhas fortes. Senhas fortes servem como uma das primeiras linhas de defesa. As senhas devem ser únicas ou complexas e nunca reutilizadas. Isso é mais fácil de fazer com um gerenciador de senhas que pode armazenar credenciais da equipe.
Use Autenticação Multifatorial (MFA). Até senhas fortes podem ser comprometidas. Qualquer forma de autenticação multifatorial é melhor do que nenhuma para garantir o acesso a recursos críticos, como e-mail, ferramentas de gerenciamento remoto e ativos de rede.
Bloqueie serviços acessíveis. Execute varreduras de rede de fora e identifique e bloqueie as portas comumente usadas pelo VNC, RDP ou outras ferramentas de acesso remoto. Se uma máquina precisar estar acessível usando uma ferramenta de gerenciamento remoto, coloque essa ferramenta por trás de uma solução de acesso à rede VPN ou de confiança zero que use MFA como parte de seu login.
Pratique segmentação e confiança zero. Separe servidores críticos uns dos outros e das estações de trabalho, colocando-os em VLANs separadas enquanto você trabalha em direção a um modelo de rede de confiança zero.
Faça backups offline de informações e aplicativos. Mantenha os backups atualizados, garanta sua capacidade de recuperação e mantenha uma cópia offline.
Faça inventário de seus ativos e contas. Dispositivos desconhecidos, desprotegidos e não corrigidos na rede aumentam o risco e criam uma situação em que atividades maliciosas podem passar despercebidas. É vital ter um inventário atual de todas as instâncias de computação conectadas. Use varreduras de rede, ferramentas IaaS e verificações físicas para localizá-las e catalogá-las e instale um software de proteção de endpoint em qualquer máquina que não tenha proteção.
Certifique-se de que os produtos de segurança estejam configurados corretamente. Sistemas e dispositivos subprotegidos também são vulneráveis. É importante que você garanta que as soluções de segurança estejam configuradas corretamente e verifique e, quando necessário, valide e atualize as políticas de segurança regularmente. Novos recursos de segurança nem sempre são ativados automaticamente. Não desative a proteção contra adulteração ou crie amplas exclusões de detecção, pois isso facilitará o trabalho de um invasor.
Audite o Active Directory (AD). Realize auditorias regulares em todas as contas no AD, garantindo que ninguém tenha mais acesso do que o necessário para sua finalidade. Desativar contas para funcionários que partem assim que eles deixarem a empresa.
Corrija tudo. Mantenha o Windows e outros sistemas operacionais e software atualizados. Isso também significa verificar novamente se os patches foram instalados corretamente e estão em vigor para sistemas críticos, como máquinas voltadas para a Internet ou controladores de domínio.
FONTE: HELPNET SECURITY