A ISH Tecnologia alerta para um novo tipo de ataque tem atingido massivamente servidores em todo o mundo. Feito pelo ransomware conhecido como “ESXiArgs”, atinge servidores VMWare ESXi, via hypervisor o qual permite a criação, execução e monitoramento de máquinas virtuais.
A inteligência da ISH afirma que as campanhas do ransomware exploram a vulnerabilidade CVE-2021-21974, para a qual já existe uma atualização de correção desde fevereiro de 2021, o que indica que os ataques podem estar encontrando sucesso devido ao excesso de máquinas desatualizadas em uso.
Após um ataque bem-sucedido, notas de resgate são implementadas nas máquinas afetadas. Elas notificam o roubo e criptografia das informações obtidas, e exigem um pagamento exclusivamente em bitcoins para sua devolução. O grupo criminoso afirma ainda que, caso a quantia não seja transferida em até três dias, alguns dados serão vazados, e o preço subirá. Alerta ainda para que a vítima não tente descriptografar os dados por conta própria, uma vez que somente eles possuem a chave de liberação.
Abaixo, um exemplo dessas notas, em inglês. Nesse caso, o valor para pagamento em bitcoins equivale a cerca de 240 mil reais.
Uma amostra obtida do ransomware mostra que ele possui como alvo os arquivos com as extensões .vmxf, .vmx, .vmdk, .vmsd e .nvram nos servidores ESXi. Após isso, cria um arquivo chamado de “file . args” para cada documento criptografado. Os pesquisadores de segurança Enes e Ebuzeyd publicaram um guia para descriptografar os arquivos de extensão .vmdk, que pode ser encontrado aqui.
A ISH informa que, até o momento, aproximadamente 2400 ativos já foram atingidos, em países como Itália, Canadá, Estados Unidos e França (que lidera o ranking). Nos dois últimos exemplos, foram emitidos comunicados pelos órgãos nacionais de cibersegurança desses locais, alertando para o risco do ataque, e afirmando estar tomando medidas para avaliar o impacto dos incidentes, em parceria com entidades dos setores público e privado. Estima-se que, no mundo todo, existam cerca de 84 mil servidores do VMWare ESXi, com 7716 no Brasil.
Mitigação
Ainda que, até o momento, não exista nenhum caso confirmado no Brasil, fica o alerta para um ataque massivo atingindo uma vulnerabilidade de um programa utilizado no nosso país. Pensando nisso, a ISH lista alguns passos para proteger máquinas e empresas:
- Realização de backups regulares; armazenar cópias de segurança de todos os dados importantes em um local seguro e desconectado;
- Sempre atualizar softwares, incluindo sistemas operacionais e aplicativos;
- Utilizar proteção de rede, como firewalls, antivírus e outras medidas de segurança;
- Promover trabalhos de conscientização com colaboradores, ensinando os mesmos a reconhecer e evitar ameaças, como phishing e/ou outros tipos de links maliciosos;
- Monitorar regularmente a rede para poder identificar e responder rapidamente a qualquer atividade suspeita;
- Criar e aplicar planos de resposta a incidentes; em caso de ataques de ransomware, poderão ser utilizados e conterão informações como questões relacionadas a backups e recuperação do sistema.
