BOLETIM DIÁRIO DE CIBERSEGURANÇA

fevereiro 9, 2023 No Comments Boletim Rubens Zolotujin

Ataques de ransomware em servidores VMware ESXi continuam aumentando.
O VMware ESXi recebe muita atenção dos agentes de ameaças e, recentemente, muitos grupos de ransomware mudaram seu interesse para máquinas virtuais ESXi vulneráveis. Um novo ransomware chamado ESXiArgs e uma variante Linux do Royal Ransomware são as ameaças mais recentes a aderir a essa tendência. Os agentes de ameaças estão visando ativamente uma vulnerabilidade RCE de dois anos(CVE-2021-21974) que afeta servidores ESXi versão 6.xe e anteriores a 6.7, aparentemente por meio da porta OpenSLP (427). Os especialistas descobriram que aproximadamente 3.200 servidores VMware ESXi foram comprometidos em todo o mundo e afetados por esta campanha recente. No ano passado, muitos grupos de ransomware como Black Basta, Hive, RedAlert, e Cheers visaram VMs ESXi. Os especialistas estimam que as gangues de ransomware, incluindo as novas, como ESXiArgs, continuarão a representar ameaças para os ambientes ESXi.
CISA lança script de recuperação para vítimas de ransomware.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) lançou um script para recuperar servidores VMware ESXi criptografados pelos recentes ataques generalizados de ransomware ESXiArgs. Para ajudar os usuários a recuperar seus servidores, a CISA lançou um script ESXiArgs-Recover no GitHub para automatizar o processo de recuperação. “A CISA está ciente de que algumas organizações relataram sucesso na recuperação de arquivos sem pagar resgates. A CISA compilou esta ferramenta com base em recursos disponíveis publicamente, incluindo um tutorial de Enes Sonmez e Ahmet Aykac”, explica a CISA. “Essa ferramenta funciona reconstruindo os metadados da máquina virtual a partir de discos virtuais que não foram criptografados pelo malware”. Embora a página do projeto GitHub tenha as etapas necessárias para recuperar VMs, script limpará os arquivos criptografados de uma máquina virtual e tentará reconstruir o arquivo .vmdk da máquina virtual usando o arquivo simples não criptografado.
Falha em ransomware permite que vítimas liberem arquivos sem pagar nada.
Uma nova variante do ransomware Clop mira diretamente servidores Linux rodando softwares da Oracle, mas também contém falhas que permitem a liberação dos arquivos após ataques, sem a necessidade de pagamento ou negociação com os criminosos. O malware que vem circulando desde dezembro do ano passado ainda parece estar em fase inicial de implementação. A SentinelLabs é a principal responsável por isso, liberando no GitHub um script programado em Python que é capaz de liberar arquivos bloqueados pelo Crop. O segredo está no uso de uma “chave mestra” de criptografia RC4 para realizar o travamento dos dados, que acaba armazenada no próprio sistema travado de forma desprotegida, o que permite que o processo seja revertido pelas próprias vítimas.

Previous Post Next

Tags

Sobre o Autor

Rubens Zolotujin Rubens Zolotujin, renomado fundador da Luigi Tecnologia, é um visionário na área de segurança cibernética. Com um compromisso inabalável com a excelência, ele lidera sua empresa na missão de oferecer soluções de segurança de alta qualidade para empresas de todos os tamanhos. Com uma carreira pautada pela inovação e expertise em cibersegurança, Rubens se destacou como um líder respeitado no setor.

Rubens Zolotujin