0
0
As últimas confirmações do crescente interesse dos invasores em ambientes VMware ESXi são duas variantes de ransomware que surgiram nas últimas semanas e começaram a atingir alvos em todo o mundo.
Uma das ferramentas de malware, apelidada de Luna, é escrita em Rust e pode criptografar dados em máquinas virtuais (VMs) ESXi, além de dados em sistemas Linux e Windows. O outro é o Black Basta, uma variante de ransomware de rápida proliferação escrita em C++ que, como Luna, tem como alvo VMs ESXi e também funciona em sistemas Windows e Linux.
Eles se somam a uma coleção de variantes de ransomware voltadas para o ESXi, o hypervisor bare-metal da VMware para execução de máquinas virtuais. Várias organizações usam a tecnologia para implantar várias VMs em um único sistema host ou em um cluster de sistemas host, tornando o ambiente um alvo ideal para invasores que desejam causar danos generalizados.
“Serviços de infraestrutura, como equipamentos de rede e infraestrutura de hospedagem, como o ESXi, não podem ser facilmente corrigidos sob demanda”, diz Tim McGuffin, diretor de engenharia contraditória da Lares Consulting. “Atacar esses serviços oferece um balcão único para o impacto, pois um grande número de servidores pode ser criptografado ou atacado de uma só vez.”
Outros exemplos recentes de malware direcionado a ambientes ESXi incluem Cheerscrypt, LockBit, RansomEXX e Hive.
A ameaça de ransomware multiplataforma
Pesquisadores da Kaspersky viram Luna pela primeira vez na natureza no mês passado. Sua análise mostra que o malware cai na tendência de várias outras variantes recentes que são escritas em linguagens independentes de plataforma, como Rust e Golang, para que possam ser facilmente portadas em diferentes sistemas operacionais. Os pesquisadores também descobriram que o malware emprega uma combinação um tanto rara de protocolos criptográficos AES e x25519 para criptografar dados nos sistemas das vítimas. O fornecedor de segurança avaliou o operador do malware como provavelmente baseado na Rússia.
A análise da Kaspersky de uma versão recente do Black Basta – uma variante de ransomware que está rastreando desde fevereiro – mostra que o malware foi ajustado para que agora possa criptografar diretórios específicos ou toda a pasta “/vmfs/volumes” em VMs ESXi. O malware usa a cifra ChaCha20 de 256 bits para criptografar arquivos nos sistemas das vítimas. Ele também usa multithreading para acelerar o processo de criptografia, fazendo com que todos os processadores nos sistemas infectados trabalhem ao mesmo tempo na tarefa.
Desde que surgiram em fevereiro, os operadores do Black Basta conseguiram comprometer pelo menos 40 organizações em todo o mundo. As vítimas incluem organizações dos setores de manufatura e eletrônicos nos EUA e em vários outros países. A telemetria disponível sugere que o agente da ameaça poderá em breve lançar outros ataques na Europa, Estados Unidos e Ásia, de acordo com a Kaspersky.
Um alvo para causar grandes danos
A proliferação de ransomware direcionado aos sistemas ESXi representa uma grande ameaça para as organizações que usam a tecnologia, observaram os especialistas em segurança. Um invasor que obtém acesso a um sistema host EXSi pode infectar todas as máquinas virtuais em execução nele e o próprio host. Se o host fizer parte de um cluster maior com volumes de armazenamento compartilhados, um invasor também poderá infectar todas as VMs do cluster, causando danos generalizados.
“Se um servidor convidado VMware for criptografado no nível do sistema operacional, a recuperação de backups ou snapshots VMware pode ser bastante fácil”, diz McGuffin. ‘[Mas] se o próprio servidor VMware for usado para criptografar os convidados, esses backups e instantâneos provavelmente também serão criptografados.” A recuperação de tal ataque exigiria primeiro a recuperação da infraestrutura e, em seguida, das máquinas virtuais. armazenamento para backups onde eles não estarão disponíveis para os invasores criptografarem”, acrescenta McGuffin.
As vulnerabilidades são outro fator que provavelmente está alimentando o interesse do invasor no ESXi. A VMware divulgou várias vulnerabilidades nos últimos meses. Em fevereiro, por exemplo, a empresa divulgou cinco falhas – incluindo importantes e críticas – que afetaram o ESXi (CVE-2021-22040, CVE-2021-22041, CVE-2021-22042, CVE-2021-22043 e CVE-2021 -22050). No mesmo mês, a VMware anunciou uma vulnerabilidade de estouro de heap na tecnologia ( CVE-2021-22045 ), e houve várias outras falhas de gravidade moderada a baixa que a empresa divulgou no último ano, incluindo uma falha crítica de execução remota de código .
“Nos últimos meses, o VMware ESXi teve várias divulgações e patches de vulnerabilidades notáveis, o que pode ser o motivo pelo qual os invasores têm um interesse maior em atingir esses ambientes”, diz Joseph Carson, cientista chefe de segurança e CISO consultivo da Delinea. A maioria desses ambientes virtuais tende a ter uma forte estratégia de backup e snapshot. No entanto, os invasores podem causar um impacto significativo se também puderem implantar ransomware nos sistemas de backup, diz ele.
Carson defende que as organizações que executam o VMware conduzam avaliações de risco e verifiquem consistentemente vulnerabilidades e configurações incorretas conhecidas para garantir que sejam corrigidas e configuradas corretamente. Eles também precisam garantir que os sistemas voltados para a Internet tenham fortes controles de acesso para garantir que apenas funcionários autorizados tenham acesso a esses sistemas.
Matthew Warner, diretor de tecnologia e cofundador da Blumira, aponta a vulnerabilidade do Log4j como outra razão provável para o crescente interesse dos invasores em ambientes ESXi. “A VMware tem uma gama incrivelmente ampla de soluções que utilizaram o Log4i e foram impactadas por essa vulnerabilidade”, diz ele. A própria VMware agiu rapidamente para fornecer orientação de mitigação. Mas é provável que muitos tenham ignorado o conselho de mitigação e agora sejam alvos de fornecedores de ransomware, diz ele.
“Quase nunca há uma situação em que o VMware Horizon deve ser voltado para a Internet”, diz Warner. “Isso abre uma quantidade incalculável de risco para a infraestrutura.” A Blumira se deparou com várias instâncias em que os servidores VMware Horizon foram expostos devido a problemas de controle de acesso nos firewalls, não à exposição proposital. “Isso serve como um bom lembrete de que sua exposição à DMZ e à Internet deve ser monitorada continuamente em seu ambiente”, defende ele.
FONTE: DARK READING