Na onda de ransomware, que, de acordo com o BSI, afeta milhares de servidores em todo o mundo, incluindo um número médio de três dígitos de empresas alemãs, os invasores têm como alvo farms de servidores - os chamados servidores ESXi - e, portanto, o coração de cada TI paisagem. Servidores VMware ESXi desatualizados e sem patches que ainda funcionam com a vulnerabilidade de fevereiro de 2021 foram especificamente atacados.
De acordo com o BSI - Federal Office for Information Security, milhares de servidores que executam a solução de virtualização ESXi da VMware foram infectados com ransomware e muitos também foram criptografados em um ataque global generalizado. O foco regional dos ataques aos servidores VMware ESXi foi na França, EUA, Alemanha e Canadá - outros países também são afetados. Os perpetradores se aproveitaram de uma vulnerabilidade conhecida há muito tempo. A própria vulnerabilidade – listada como CVE-2021-21974 e de acordo com o CVSS com gravidade de 8.8 como "alta" - existe um patch do fabricante desde fevereiro de 2021.
Isto é o que a Trend Micro diz sobre o ataque ao servidor ESXi
🔎 Trend Micro: Richard Werner, Consultor de Negócios (Imagem: Trend Micro).
“Vemos repetidamente que as empresas não estão preparadas para esses problemas de terceiros. Existe um processo regular de patch para a Microsoft, mas não para fabricantes terceirizados, como a VMware neste caso. Porque o número de patches não justifica a criação de um processo separado para isso. Além disso, as empresas não apenas encerram seu farm de servidores para instalar um único patch. Os invasores estão cientes das dificuldades que suas vítimas enfrentam e, portanto, geralmente exploram vulnerabilidades que não são baseadas na tecnologia da Microsoft.
Vulnerabilidade do ESXi já relatada à VMware em outubro de 2020
Na verdade, apenas cerca de 30% das vulnerabilidades usadas pelos invasores dependem de software da gigante da tecnologia. Não é incomum que hackers explorem ativamente vulnerabilidades de software não corrigidas. De acordo com uma pesquisa da Trend Micro, cerca de 86% de todas as empresas em todo o mundo têm essas lacunas. A Zero Day Initiative da Trend Micro relatou a vulnerabilidade, identificada como CVE-2021-21974 e classificada como "alta" pelo CVSS com uma gravidade de 8.8, para a VMware em outubro de 2020 e, em seguida, publicou em conjunto uma divulgação responsável da vulnerabilidade (divulgação responsável)" diz Richard Werner, consultor de negócios da Trend Micro.
Isto é o que a Check Point diz sobre o ataque ao servidor ESXi
“As interrupções que ocorreram nos últimos dias podem ser rastreadas com precisão até esse ataque de ransomware, que é uma ameaça crescente não apenas em países europeus como França e Itália, mas em todo o mundo. Em julho do ano passado, o ThreatCloud da Check Point Research relatou um aumento anual de 59% no ransomware globalmente. Com esse aumento e o ataque relatado ontem, é apropriado reiterar que a prevenção de ameaças cibernéticas deve ser uma prioridade para empresas e organizações.
Mesmo máquinas não Windows estão agora em risco
Esse ataque maciço aos servidores ESXi também é considerado um dos maiores ataques cibernéticos já relatados em máquinas não Windows. O que torna a situação ainda mais preocupante é o fato de que, até recentemente, os ataques de ransomware eram limitados a máquinas baseadas no Windows. Os invasores reconheceram a importância dos servidores Linux para os sistemas de instituições e organizações”, diz Lothar Geuenich, vice-presidente da Europa Central / DACH da Check Point Software Technologies.
Isso é o que Barracuda diz sobre o ataque ao servidor ESXi
🔎 Barracuda Networks: Stefan van der Wal, Consulting Solutions Engineer, EMEA, Application Security (Imagem: Barracuda Networks).
“Os ataques generalizados de ransomware relatados em sistemas VMware ESXi não corrigidos na Europa e em outros lugares parecem ter explorado uma vulnerabilidade corrigida em 2021. Isso mostra como é importante atualizar os sistemas críticos de infraestrutura de software de maneira absolutamente oportuna. Nem sempre é fácil para as empresas atualizar o software. No caso deste patch, por exemplo, as empresas precisam desativar temporariamente partes significativas de sua infraestrutura de TI. Mas é muito melhor tolerar isso do que ser atingido por um ataque potencialmente malicioso.
As organizações que usam o ESXi devem atualizar para a versão mais recente imediatamente
Proteger a infraestrutura virtual é fundamental. As máquinas virtuais podem ser um alvo atraente para o ransomware, pois geralmente executam serviços ou funções confidenciais de negócios - e um ataque bem-sucedido pode causar interrupções generalizadas. É particularmente importante garantir que o acesso ao console de gerenciamento de uma máquina virtual seja protegido e não possa, por exemplo, ser acessado simplesmente por meio de uma conta comprometida na rede corporativa”, disse Stefan van der Wal, engenheiro de soluções de consultoria, EMEA, segurança de aplicativos da Barracuda Networks.
Isto é o que Artic Wolf diz sobre o ataque ao servidor ESXi
Apesar dos relatos de que os ataques bem-sucedidos de ransomware estão diminuindo, o ataque global a servidores na Europa e na América do Norte mostra que o ransomware ainda é uma ameaça real para empresas e organizações em todo o mundo. Ao explorar uma vulnerabilidade no VMWare, os criminosos conseguiram atacar um grande fornecedor que abastece vários setores e até países. Portanto, é seguro presumir que o ataque continuará a causar transtornos generalizados a milhares de pessoas por algum tempo.
As empresas devem revisar constantemente a postura de segurança atual
“No primeiro semestre de 2022, mais da metade de todos os incidentes de segurança foram causados pela exploração de vulnerabilidades externas. Uma tendência que pode ser observada: os agentes de ameaças estão cada vez mais visando organizações de todos os portes – principalmente por meio de vulnerabilidades conhecidas. Portanto, é mais importante do que nunca que as organizações acertem seus fundamentos de segurança cibernética, por exemplo. B. por meio de patches consistentes e regulares.
Isso significa trabalhar com especialistas para identificar a tecnologia certa, treinar funcionários no aplicativo certo e revisar constantemente a situação de segurança atual. Dessa forma, eles podem garantir que estão na melhor posição possível para reagir a novas ameaças e se proteger da melhor maneira possível. Além disso, no caso de alguns sistemas caírem, os planos de contingência são essenciais para permitir que as organizações continuem operando”, disse Dan Schiappa, diretor de produtos da Lobo Ártico.
Isso é o que Tehtris diz sobre o ataque ao servidor ESXi
A TEHTRIS publicou uma análise do ataque de ransomware ESXiArgs que ficou conhecido no fim de semana. Os especialistas em segurança chegaram à conclusão de que os ataques foram precedidos por uma série de atividades antes que o ataque real ocorresse. Para sua investigação, os pesquisadores de segurança analisaram atividades relacionadas à porta 427 em particular, que é de grande importância nos ataques atuais.
Ransomware ESXiArgs: Ataques não apenas desde o fim de semana
🔎 Atividades registradas pelo Tehtris em torno da porta 427 nos servidores ESXi (Imagem: Tehtris).
A campanha cibernética ESXiArgs recebeu esse nome porque cria um arquivo .args para cada documento criptografado. Graças à sua rede mundial de honeypots, a Tehtris conseguiu determinar que o ataque que ficou conhecido no fim de semana não começou apenas alguns dias atrás. A linha do tempo abaixo, com base nos dados da Tehtris desde 1º de janeiro de 2023, mostra que houve um aumento nos ataques à porta 10 já em 24 e 427 de janeiro. Essas atividades foram retomadas no início de fevereiro.
Alguns dos IPs maliciosos que a Tehtris está monitorando neste contexto em sua rede honeypot tentaram ficar fora do radar antes de 3 de fevereiro. Embora fossem muito discretos, fazendo apenas uma única ligação, eles alcançaram um grande número de honeypots. Observar o painel honeypot global mostra que a maioria dos ataques recebidos na porta 427 tem como alvo a parte leste dos EUA, a parte nordeste da Ásia-Pacífico e a Europa Ocidental, e praticamente no mesmo nível. Mais resultados de investigação, incluindo uma análise dos endereços IP dos quais os ataques se originam, podem ser encontrados na última postagem do blog de Tehtris.