Cheers ransomware atinge sistemas VMware ESXi. Outra variedade de ransomware tem como alvo os servidores VMware ESXi, que têm sido o foco de extorsionários e outros criminosos nos últimos meses.
Apelidado de Cheers, o ransomware, depois de comprometer um servidor, inicia o criptografador, que enumera automaticamente as máquinas virtuais em execução e as encerra
Um novo ransomware apelidado de ‘Cheers’ iniciou suas operações visando servidores VMware ESXi vulneráveis. O VMware ESXi é uma plataforma de virtualização usada por grandes organizações em todo o mundo e justamente por isso é extremamente visada por grupos de hackers, sendo os mais recentes ataques a esses servidores partiram dos operadores do LockBit e Hive.
Embora apenas uma variante de ransomware do Linux tenha sido encontrada até o momento, provavelmente também há uma variante do Windows disponível.
O ESXi, um hypervisor bare-metal usado por uma ampla variedade de organizações em todo o mundo, tornou-se o alvo de famílias de ransomware como LockBit , Hive e RansomEXX . O uso onipresente da tecnologia e o tamanho de algumas empresas que a utilizam a tornaram uma maneira eficiente de os criminosos infectarem um grande número de sistemas virtualizados e dispositivos e equipamentos conectados, de acordo com pesquisadores da Trend Micro.
“ESXi é amplamente usado em configurações corporativas para virtualização de servidores“, observou a Trend Micro em um artigo nesta semana. “Portanto, é um alvo popular para ataques de ransomware… O comprometimento dos servidores ESXi tem sido um esquema usado por alguns grupos notórios de criminosos cibernéticos porque é um meio de espalhar rapidamente o ransomware para muitos dispositivos.“
Yehuda Rosen, engenheiro de software sênior da empresa de segurança cibernética nVisium, disse que um servidor ESXi “é muito mais do que apenas um servidor“.
“Ele pode hospedar dezenas de máquinas virtualizadas, o que aumenta sua importância no ambiente de TI de uma organização e, portanto, também aumenta drasticamente as chances de uma organização pagar o resgate para recuperar seus servidores”, disse Rosen ao The Register . “Se um invasor pode manter vários servidores [virtuais] como resgate infectando uma máquina, isso diminui sua própria carga de trabalho e aumenta o retorno potencial”.
O mais recente ransomware direcionado ao hipervisor da VMware é um que os pesquisadores da Trend estão chamando de Cheerscrypt – ou simplesmente Cheers – e, como um número crescente de surtos, vem com uma ameaça de extorsão dupla destinada a incentivar as vítimas a pagar o resgate exigido.
Na nota de resgate que aparece nas telas da vítima, os cibercriminosos dão à organização três dias para contatá-los. Caso contrário, o grupo liberará publicamente os dados exfiltrados da caixa comprometida e aumentará o valor do resgate.
Para conseguir isso, parece que os malfeitores precisam obter acesso privilegiado ao shell ( desativado por padrão ) ao servidor hipervisor ESXi de destino ou obter a capacidade de executar comandos no host. Uma vez carregado e executado no servidor ESXi em um ambiente Linux, o Cheers ransomware executa um comando para encerrar todos os processos de máquina virtual (VM) em execução usando um comando esxcli e executa o código para criptografar dados na caixa. “O encerramento dos processos da VM garante que o ransomware possa criptografar com sucesso os arquivos relacionados ao VMware”, escreveu o Team Trend.
O ransomware procura arquivos de log e arquivos relacionados ao VMware que tenham as extensões .log, .vmdk, .vmem, .vswp e .vmsn. Para cada diretório que ele criptografa, o malware deixa um ransomware com o nome “Como restaurar seus arquivos.txt“. Os arquivos que foram criptografados com sucesso recebem a extensão .Cheers.
Em uma reviravolta estranha, o ransomware primeiro renomeia os arquivos que planeja criptografar antes de realmente criptografá-los, escreveu o pesquisador, acrescentando que “assim, se a permissão de acesso ao arquivo não foi concedida, ele não pode prosseguir com a criptografia real“.
Depois que a criptografia é concluída, o ransomware exibe estatísticas do que foi feito, desde o número de arquivos criptografados e de arquivos não criptografados até a quantidade de dados criptografados.
O arquivo executável Cheerscrypt inclui a metade pública de um par de chaves pública-privada; os mentores do malware mantêm a metade privada para si. O programa usa a cifra de fluxo SOSEMANUK para criptografar os dados da máquina comprometida. Aqui está o processo de embaralhamento de arquivos, de acordo com a Trend:
Para cada arquivo a ser criptografado, ele gera um par de chaves públicas-privadas ECDH na máquina por meio de /dev/urandom do Linux. Em seguida, ele usa sua chave pública incorporada e a chave privada gerada para criar uma chave secreta que será usada como uma chave SOSEMANUK. Depois de criptografar o arquivo, ele anexará a chave pública gerada a ele. Como a chave privada gerada não é salva, não se pode usar a chave pública incorporada com a chave privada gerada para produzir a chave secreta. Portanto, a descriptografia só é possível se a chave privada do agente mal-intencionado for conhecida.
As organizações precisam ser proativas ao proteger os sistemas contra ransomware e outros ataques, escreveram eles. Isso inclui adotar estruturas de segurança como as do Centro de Segurança da Internet e do Instituto Nacional de Padrões e Tecnologia, que segundo eles “ajudam as equipes de segurança a mitigar riscos e minimizar a exposição a ameaças. Adotar as melhores práticas discutidas em suas respectivas estruturas pode economizar organizações o tempo e o esforço quando personalizam os seus próprios.“
Archie Agarwal, fundador e CEO da empresa de segurança cibernética ThreatModeler, disse que as empresas precisam ter um pensamento claro.
“Assim como os invasores fazem um cálculo de risco/recompensa para determinar a superfície de ataque escolhida, os defensores devem fazer uma análise de custo/benefício na mitigação”, disse Agarwal ao The Register . “Se o ransomware é um vetor que as organizações temem, elas devem tentar bloquear todos os vetores de entrada que o ransomware – como a água – procura? Ou as organizações devem investir em retenção de dados e esquema de replicação que impeça que o ataque do ransomware os afete?“
Fonte: The Register
Nenhum comentário:
Postar um comentário