ISH Tecnologia alerta para ransomware que ataca servidores VMware

A ISH Tecnologia, provedora nacional de cibersegurança, alerta para um novo tipo de ataque tem atingido massivamente servidores em todo o mundo. Feito pelo ransomware conhecido como “ESXiArgs”, atinge servidores VMware ESXi, via hypervisor o qual permite a criação, execução e monitoramento de máquinas virtuais.

A inteligência da ISH afirma que as campanhas do ransomware exploram a vulnerabilidade CVE-2021-21974, para a qual já existe uma atualização de correção desde fevereiro de 2021, o que indica que os ataques podem estar encontrando sucesso devido ao excesso de máquinas desatualizadas em uso.

Após um ataque bem-sucedido, notas de resgate são implementadas nas máquinas afetadas. Elas notificam o roubo e criptografia das informações obtidas, e exigem um pagamento exclusivamente em bitcoins para sua devolução. O grupo criminoso afirma ainda que, caso a quantia não seja transferida em até três dias, alguns dados serão vazados, e o preço subirá. Alerta ainda para que a vítima não tente descriptografar os dados por conta própria, uma vez que somente eles possuem a chave de liberação.

Uma amostra obtida do ransomware mostra que ele possui como alvo os arquivos com as extensões .vmxf, .vmx, .vmdk, .vmsd e .nvram nos servidores ESXi. Após isso, cria um arquivo chamado de “file . args” para cada documento criptografado.

A ISH informa que, até o momento, aproximadamente 2,4 mil ativos já foram atingidos, em países como Itália, Canadá, Estados Unidos e França (que lidera o ranking). Nos dois últimos exemplos, foram emitidos comunicados pelos órgãos nacionais de cibersegurança desses locais, alertando para o risco do ataque, e afirmando estar tomando medidas para avaliar o impacto dos incidentes, em parceria com entidades dos setores público e privado. Estima-se que, no mundo todo, existam cerca de 84 mil servidores do VMware ESXi, com 7716 no Brasil.

Mitigação

Ainda que, até o momento, não exista nenhum caso confirmado no Brasil, fica o alerta para um ataque massivo atingindo uma vulnerabilidade de um programa utilizado no País. Pensando nisso, a ISH lista alguns passos para proteger máquinas e empresas:

– Realização de backups regulares; armazenar cópias de segurança de todos os dados importantes em um local seguro e desconectado

– Sempre atualizar softwares, incluindo sistemas operacionais e aplicativos

– Utilizar proteção de rede, como firewalls, antivírus e outras medidas de segurança

– Promover trabalhos de conscientização com colaboradores, ensinando os mesmos a reconhecer e evitar ameaças, como phishing e/ou outros tipos de links maliciosos

– Monitorar regularmente a rede para poder identificar e responder rapidamente a qualquer atividade suspeita

– Criar e aplicar planos de resposta a incidentes; em caso de ataques de ransomware, poderão ser utilizados e conterão informações como questões relacionadas a backups e recuperação do sistema

Serviço
www.ish.com.br