ISH Tecnologia adverte quanto a ataque em larga escala que exige Bitcoin como pagamento

A ISH Tecnologia, companhia nacional em cibersegurança, alerta para um novo tipo de ataque tem atingido massivamente servidores em todo o mundo. Feito pelo ransomware conhecido como ESXiArgs, atinge servidores VMWare ESXi, via hypervisor o qual permite a criação, execução e monitoramento de máquinas virtuais.

A inteligência da ISH afirma que as campanhas do ransomware exploram a vulnerabilidade CVE-2021-21974, para a qual já existe uma atualização de correção desde fevereiro de 2021, o que indica que os ataques podem estar encontrando sucesso devido ao excesso de máquinas desatualizadas em uso.

Após um ataque bem-sucedido, notas de resgate são implementadas nas máquinas afetadas. Elas notificam o roubo e criptografia das informações obtidas, e exigem um pagamento exclusivamente em bitcoins para sua devolução. O grupo criminoso afirma ainda que, caso a quantia não seja transferida em até três dias, alguns dados serão vazados, e o preço subirá. Alerta ainda para que a vítima não tente descriptografar os dados por conta própria, uma vez que somente eles possuem a chave de liberação.

Uma amostra obtida do ransomware mostra que ele possui como alvo os arquivos com as extensões .vmxf, .vmx, .vmdk, .vmsd e .nvram nos servidores ESXi. Após isso, cria um arquivo chamado de “file . args” para cada documento criptografado. Os pesquisadores de segurança Enes e Ebuzeyd publicaram um guia para descriptografar os arquivos de extensão .vmdk.

A ISH informa que, até o momento, aproximadamente 2,4 mil ativos já foram atingidos, em países como Itália, Canadá, Estados Unidos e França, que lidera o ranking. Nos dois últimos exemplos, foram emitidos comunicados pelos órgãos nacionais de cibersegurança desses locais, alertando para o risco do ataque, e afirmando estar tomando medidas para avaliar o impacto dos incidentes, em parceria com entidades dos setores público e privado. Estima-se que, no mundo todo, existam cerca de 84 mil servidores do VMWare ESXi, com 7716 no Brasil.

Mitigação
Ainda que, até o momento, não exista nenhum caso confirmado no Brasil, fica o alerta para um ataque massivo atingindo uma vulnerabilidade de um programa utilizado no nosso país. Pensando nisso, a ISH lista alguns passos para proteger máquinas e empresas:

– Realização de backups regulares; armazenar cópias de segurança de todos os dados importantes em um local seguro e desconectado

– Sempre atualizar softwares, incluindo sistemas operacionais e aplicativos

– Utilizar proteção de rede, como firewalls, antivírus e outras medidas de segurança

– Promover trabalhos de conscientização com colaboradores, ensinando os mesmos a reconhecer e evitar ameaças, como phishing e/ou outros tipos de links maliciosos

– Monitorar regularmente a rede para poder identificar e responder rapidamente a qualquer atividade suspeita

– Criar e aplicar planos de resposta a incidentes; em caso de ataques de ransomware, poderão ser utilizados e conterão informações como questões relacionadas a backups e recuperação do sistema

A ISH Tecnologia, fundada em 1996, é uma empresa que atua nos segmentos de cibersegurança, infraestrutura crítica e nuvens blindadas. Ocupa a 34ª posição no ranking das 250 principais provedoras de serviços de segurança gerenciados do mundo, publicado pela MSSP Alert.

Com mais de 800 profissionais especializados, tem entre seus clientes algumas das maiores empresas do Brasil, incluindo bancos, fintechs, instituições financeiras, varejistas, atacadistas, empresas da área de saúde e órgãos públicos. A matriz fica em Vitória (ES), e a empresa mantém filiais em São Paulo, Rio de Janeiro, Belo Horizonte, Brasília, Curitiba, Goiânia e Pernambuco e subsidiária nos Estados Unidos.