0
0
Um ataque global de ransomware aos hipervisores VMware ESXi está se expandindo, de acordo com várias agências governamentais e pesquisadores, já tendo infectado milhares de alvos.
O ataque, sinalizado pela primeira vez no final de 3 de fevereiro pela equipe francesa de resposta a emergências de computadores (CERT-FR), já comprometeu mais de 3.200 servidores no Canadá, França, Finlândia, Alemanha e EUA até agora, de acordo com o rastreamento do Censys .
A via de comprometimento é uma exploração de uma vulnerabilidade de segurança de execução remota de código (RCE) de 2 anos ( CVE-2021-21974 ), que afeta o serviço Open Service Location Protocol (OpenSLP) do hipervisor.
O objetivo do ataque parece ser a instalação de uma nova cepa de ransomware apelidada de “ESXiArgs” – embora a gangue por trás dele seja desconhecida, de acordo com um aviso de 5 de fevereiro do provedor de hospedagem francês OVHcloud , que tem clientes afetados pelos ataques.
“Nós [anteriormente] assumimos que o ataque estava vinculado ao ransomware Nevada, o que foi um erro”, de acordo com o alerta. “Nenhum material pode nos levar a atribuir este ataque a qualquer grupo. A atribuição nunca é fácil e deixamos os pesquisadores de segurança tirarem suas próprias conclusões.”
Os operadores por trás do ataque estão pedindo cerca de 2 Bitcoins ($ 23.000 no momento desta publicação) para serem entregues dentro de três dias após o comprometimento; se as vítimas não pagarem, o resgate aumentará e a gangue divulgará dados confidenciais, alertaram eles, de acordo com uma cópia da nota de resgate postada por um monitor da Dark Web conhecido como DarkFeed. No entanto, a empresa de segurança cibernética Rapid7 observou em uma análise que não há evidências de exfiltração de dados reais até o momento.
Em vez disso, o processo de criptografia parece ser o objetivo principal, que visa especificamente os arquivos da máquina virtual (.vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram e *.vmem), de acordo com a avaliação da empresa. “Em alguns casos, a criptografia de arquivos pode falhar parcialmente, permitindo que a vítima recupere os dados.”
Além disso, “o malware tenta desligar as máquinas virtuais matando o processo VMX para desbloquear os arquivos”, explicou Rapid7; VMX, ou Virtual Machine Executable, é um processo executado no VMkernel que lida com comandos de E/S. “Esta função não está funcionando sistematicamente como esperado, resultando em arquivos permanecendo bloqueados”, acrescentou o alerta .
Para evitar ser pego nos ataques cibernéticos, os administradores devem corrigir imediatamente ou, como solução alternativa, “o SLP pode ser desativado em qualquer servidor ESXi que não tenha sido atualizado, a fim de mitigar ainda mais o risco de comprometimento”, de acordo com o alerta CERT-FR .
Além disso, “usuários e administradores também são aconselhados a avaliar se a porta 427 direcionada à campanha de ransomware pode ser desativada sem interromper as operações”, aconselhou o SingCERT de Cingapura em um aviso no fim de semana.
VMware continua sendo um alvo popular para cibercriminosos; na semana passada, o código de exploração surgiu para outros bugs RCE ocultos no portfólio de produtos do especialista em virtualização.
FONTE: DARK READING