PSA: Se você for um administrador de servidor ESXi, verifique se está executando o software EXSi mais recente. Este conselho normalmente é desnecessário, mas os hackers estão atualmente executando uma campanha de ransomware que explora um bug antigo (em termos tecnológicos) no sistema. Esse problema não aconteceria se os administradores do ESXi estivessem praticando higiene de segurança adequada, diz a VMware.
No fim de semana, pesquisadores de segurança descobriram que atores mal-intencionados estão explorando remotamente um bug nos servidores VMware ESXi de dois anos atrás. O ESXi da VMware é um hipervisor que permite que um servidor hospede várias máquinas virtuais executando vários sistemas operacionais.
De acordo com a Equipe de Resposta a Emergências Informáticas na França (CERT-FR), os criminosos estão visando sistemas vulneráveis no país com uma variante de malware chamada “ESXiArgs”. Autoridades de segurança cibernética na Itália confirmaram que o ransomware também está atingindo sistemas em toda a Europa e América do Norte.
Os ataques ocorrem desde pelo menos 3 de fevereiro e afetaram mais de 3.200 servidores VMware em todo o mundo. Por mais antiga que seja essa falha de segurança, é notável como os ataques são generalizados. Uma pesquisa do Censys observa que o país mais atingido foi a França, com 915 sistemas comprometidos. Os EUA, Alemanha, Canadá e Reino Unido completam os cinco primeiros em suas respectivas posições e compreendem mais da metade dos ataques contabilizados. O Censys também está rastreando em 15 outros países.
Funcionários da Agência de Segurança Cibernética e Infraestrutura (CISA) nos EUA disseram que estão analisando a situação e ajudando as empresas e organizações afetadas.
🌐 Um novo #ransomware ataque está se espalhando como um louco 🚨
Muitos servidores VMware ESXi foram criptografados nas últimas horas com esta nota de resgate 🧐
O interessante é que a carteira bitcoin é diferente em cada nota de resgate. Nenhum site para o grupo, apenas ID TOX ‘ pic.twitter.com/mgyoLxbXvg
—DarkFeed (@ido_cohen2) 3 de fevereiro de 2023
“A CISA está trabalhando com nossos parceiros dos setores público e privado para avaliar os impactos desses incidentes relatados e fornecer assistência quando necessário”, disse um porta-voz ao TechCrunch. “Qualquer organização que sofra um incidente de segurança cibernética deve denunciá-lo imediatamente à CISA ou ao FBI.”
Servidores VMware comprometidos que não são atualizados há anos podem ser vítimas de ataques remotos de “baixa complexidade” que não exigem o conhecimento de nenhuma credencial de funcionário. O ransomware então criptografa os dados e emite um pedido de resgate.
Até agora, autoridades e pesquisadores não têm certeza de quem está por trás dos ataques. O Deep Web Intelligence Feed twittou capturas de tela do ransomware mostrando que os invasores estão pedindo cerca de 2,064921 Bitcoins (cerca de US$ 19.000) para liberar os servidores. DarkFeed observa que cada nota de resgate lista uma carteira Bitcoin diferente. A OVHcloud inicialmente culpou o Nevada Ransomware pela campanha, mas desde então se retratou, dizendo: “Nenhum material pode nos levar a atribuir este ataque a qualquer grupo”.
A VMware diz que os ataques só podem acontecer quando os administradores não atualizam seu software ESXi há anos. A porta-voz Doreen Ruyak disse ao TechCrunch que os desenvolvedores tomaram conhecimento da falha de segurança designada CVE-2021-21974 e a corrigiram em um comunicado de segurança de fevereiro de 2021. Ela pede a todas as organizações que garantam que estão executando uma versão atual do software para se protegerem.
“A higiene de segurança é um componente chave na prevenção de ataques de ransomware, e as organizações que executam versões do ESXi afetadas pelo CVE-2021-21974 e ainda não aplicaram o patch devem agir conforme indicado no comunicado”, disse Ruyak.
