0
0
No ano passado, 10 famílias diferentes de ransomware utilizaram o código-fonte Babuk vazado para desenvolver armários para hipervisores VMware ESXi.
Hipervisores são programas usados para executar várias máquinas virtuais (VMs) em um único servidor. Ao visar o ESXi, os hackers podem infectar várias VMs em um ambiente corporativo mais diretamente do que poderiam por meios convencionais.
Alguns dos ransomwares ESXi baseados em Babuk estão associados a grandes agentes de ameaça, como Conti e REvil. E de acordo com Alex Delamotte, pesquisador sênior de ameaças da SentinelOne, a maioria delas foi utilizada em ataques do mundo real nos últimos meses.
“Parece que é um modelo eficaz”, diz Delamotte, que publicou a nova pesquisa esta semana. “Enquanto eles permanecerem lucrativos, os hackers vão continuar usando esses armários. E parece que funcionam.”
Como chegamos até aqui
Babuk era uma oferta popular, embora imperfeita, de ransomware como serviço (RaaS), que circulou pela primeira vez no início de 2021.
Em setembro de 2021, seu modelo de negócios foi interrompido quando um dos criadores originais teve um momento de acerto de contas. “Um dos desenvolvedores do grupo de ransomware Babuk, uma pessoa de 17 anos da Rússia, foi diagnosticado com câncer de pulmão em estágio 4”, escreveu o vx-underground, um repositório de código-fonte de malware, em um tuíte. “Ele decidiu vazar todo o código-fonte Babuk para Windows, ESXI, NAS.”
Babuk como linha de base
Desde então, os agentes de ameaças têm usado as várias ferramentas vazadas de Babuk como base para criar novas cargas maliciosas.
Por exemplo, em seu relatório publicado em 4 de maio, pesquisadores do Sentinel Labs identificaram sobreposições significativas entre o construtor de ransomware Babuk ESXi e dez outras famílias de ransomware: Cylance, Dataf Locker, Lock4, Mario, Play, Rorschach, RTM Locker, XVGV, RHKRC – intimamente associado ao armário Revix do grupo REvil – e “Conti POC” – uma prova de conceito do notório e agora amplamente extinto grupo de ransomware.
Delamotte diz que Mario, Rorschach, XVGV e Conti POC já foram utilizados em ataques, e usuários em fóruns do Bleeping Computer relataram ter sido vítimas do Dataf Locker e do Lock4.
Por que os hackers atacam o ESXi
O VMware ESXi, um hipervisor “bare metal”, não usa nenhum sistema operacional como buffer (“bare metal”), em vez disso, faz interface diretamente com o hardware lógico. Ele é instalado diretamente em um servidor físico com acesso irrestrito e controle sobre os recursos subjacentes da máquina.
Tudo isso é o que torna o ESXi uma plataforma poderosa para administradores de TI e, da mesma forma, hackers. Os agentes mal-intencionados podem atingir várias VMs em execução em um único servidor virtual, utilizando “ferramentas internas para o hipervisor ESXi matar máquinas convidadas e, em seguida, criptografar arquivos cruciais do hipervisor”, explicou Delamotte no relatório.
As empresas que executam o ESXi da VMware precisam ser cautelosas, embora a correção seja simples.
“O mais importante é garantir que qualquer acesso – especialmente o acesso de gerenciamento, a algo como um hipervisor ESXi – seja muito limitado”, aconselha Delamotte. “Você quer ter bons controles de acesso baseados em função e, definitivamente, MFA sempre que possível em qualquer conta de serviço.”
Controles de acesso rigorosos e eficazes devem ser suficientes para isolar os vulneráveis. “Eu realmente não vejo nenhuma situação”, diz ela, “em que alguém possa passar para esse tipo de servidor sem ter privilégios de administrador”.
FONTE: DARK READING