Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers explorando ativamente servidores VMware ESXi para implantar ransomware

CERT-FR, a Equipe Francesa de Resposta a Emergências Informáticas (CERT-FR), bem como administradores e provedores de hospedagem, emitiram um aviso sobre novo ransomware, chamado ESXiArgs, que foi descoberto.

Esta vulnerabilidade permite que os invasores implantem o ransomware ESXiArgs, o que pode ter consequências graves para os servidores afetados e para os dados neles armazenados.

É importante que administradores e provedores de hospedagem garantam que seus servidores VMware ESXi estejam corrigidos e atualizados para evitar tais ataques.

Comportamentos identificados

  • Os analistas de segurança determinaram que o vetor de comprometimento é baseado em uma vulnerabilidade do OpenSLP que pode ser CVE-2021-21974.
  • O malware implanta uma chave pública em /tmp/public.pem para criptografar seus dados.
  • O processo de criptografia visa especificamente arquivos em máquinas virtuais.
  • Na tentativa de desbloquear os arquivos nas máquinas virtuais, o malware mata o processo VMX para desligar as máquinas virtuais.
  • Argsfiles são criados pelo malware para armazenar argumentos passados ​​ao binário criptografado como parâmetros.
  • Os dados não foram exfiltrados de forma alguma.

Novo ransomware ESXiArgs

Recentemente, houve um novo ataque de ransomware que chamou a atenção de especialistas em segurança. Após a análise das notas de resgate deixadas pelos invasores, foi determinado que este ataque não parece estar relacionado ao Nevada Ransomware.

Em vez disso, as notas de resgate parecem pertencer a uma família de ransomware completamente diferente ou “nova”. Esta descoberta destaca a natureza em constante evolução das ameaças cibernéticas e a necessidade de vigilância e atualizações constantes das medidas de segurança.

Após realizar uma revisão completa, o analista determinou que os dados em questão não foram infiltrados. A investigação foi motivada por um ataque a uma máquina com mais de 500 GB de dados armazenados nele, que mostraram o uso diário típico de apenas 2 Mbps.

Nós recomendamos:  Fastweb Mobile, apenas 7€ 0,99 para tudo ilimitado e 100 gigabytes

Para validar esta conclusão, o analista também revisou as estatísticas de tráfego dos últimos 90 dias. Nenhuma evidência foi encontrada de qualquer transferência de dados de saída.

Também houve relatos de que as vítimas encontraram notas de resgate em sistemas bloqueados com os nomes “ransom.html” e “How to Restore Your Files.html”.

Sistemas afetados por CVE-2021-21974

Existem vários sistemas afetados pelo CVE-2021-21974, incluindo:

  • Versões ESXi 7.x antes de ESXi70U1c-17325551
  • Versões ESXi 6.7.x antes de ESXi670-202102401-SG
  • Versões ESXi 6.5.x antes de ESXi650-202102101-SG

Detalhes técnicos do ESXiArgs

Como resultado da análise do script e do criptografador de criptografia, obtivemos uma compreensão mais profunda dos ataques. Existem vários arquivos armazenados na pasta /tmp quando o servidor é hackeado: –

  • criptografar – O executável ELF do criptografador.
  • criptografar[.]eh – Shell scripts que executam diversas tarefas antes da execução de um criptografador, servindo como lógica de ataque.
  • público[.]pem – A chave usada para criptografar um arquivo é uma chave RSA pública.
  • motd – A nota de resgate em formato de texto será copiada para /etc/motd, por isso é mostrada no login. O arquivo original do servidor será copiado para /etc/motd1.
  • índice[.]HTML A página inicial do -ESXi será substituída pela nota de resgate em formato HTML. Na mesma pasta, index1.html será copiado do arquivo original do servidor.

Esta violação de segurança afetou dezenas de organizações italianas e causou preocupação entre muitas outras. O incidente envolveu uma ameaça de bloquear o acesso destas organizações aos seus sistemas e é provável que muitas delas já tenham sido afetadas.

Em resposta a esta situação, muitas mais organizações foram alertadas para tomarem medidas para evitarem ser vítimas deste ataque. A natureza generalizada deste incidente destacou a importância de manter fortes medidas de segurança para proteger contra ameaças semelhantes no futuro.

Nós recomendamos:  Trunfo? Clinton? De qualquer maneira, você pode lucrar com o burburinho eleitoral