Cibercriminosos usam ransomware para atacar VMWare ESXi e criptografar discos rígidos virtuais

Cibercriminosos usam ransomware para atacar VMWare ESXi e criptografar discos rígidos virtuais

Pelo menos um grande grupo cibercriminoso de ransomware está explorando de vulnerabilidades no produto VMWare ESXi. Assim, eles assumem o controle de máquinas virtuais em ambientes corporativos. Objetivo é criptografar os discos rígidos virtuais. Esses ataques não são necessariamente novos. São registrados pelo menos desde outubro passado. Os cibercriminosos implantaram o ransomware RansomExx.

Os invasores usaram CVE-2019-5544 e CVE-2020-3992, duas vulnerabilidades no VMware ESXi. Trata-se de uma solução de hipervisor que permite que várias máquinas virtuais compartilhem o mesmo armazenamento no disco rígido. Ambos os bugs afetam o Service Location Protocol (SLP). Este é um protocolo usado por dispositivos na mesma rede para descobrir uns aos outros; também incluído no ESXi.

Cibercriminosos usam ransomware para atacar VMWare ESXi e criptografar discos rígidos virtuais

As vulnerabilidades permitem que um invasor na mesma rede envie solicitações SLP maliciosas para um dispositivo ESXi. Então, assumem o controle dele. Isso ocorre mesmo que o invasor não tenha comprometido o servidor VMWare vCenter ao qual as instâncias ESXi geralmente se reportam.

Em ataques que ocorreram no ano passado, a gangue RansomExx obteve acesso a um dispositivo em uma rede corporativa. A partir deste ponto, atacaram instâncias ESXi locais. Então, criptografaram os discos rígidos virtuais, usados ??para armazenar dados de máquinas virtuais. Assim, causaram grandes problemas para as empresas. É que os discos virtuais ESXi geralmente servem ??para centralizar dados de vários outros sistemas.

Além disso, relatos desses ataques foram documentados no Reddit,  compartilhados no Twitterapresentados em uma conferência de segurança no mês passado.

Por enquanto, apenas a gangue RansomExx (ou Defray777) foi vista usando desse truque. Porém, no mês passado, o operador do ransomware Babuk Locker também anunciou um recurso semelhante. Neste caso, entretanto, o ataque não obteve confirmação.

Além disso, os agentes de ameaças também observaram a venda de acesso a instâncias do ESXi em fóruns clandestinos de crimes cibernéticos. A informação é d da empresa de inteligência de ameaças KELA

kela-esxi-root-access.png
Imagem: KELA

Os administradores de sistema em empresas que dependem do VMWare ESXi para gerenciar o espaço de armazenamento das máquinas virtuais devem aplicar os patches ESXi. Do mesmo modo, outra opção é desativar o suporte a SLP para evitar ataques se o protocolo não for necessário.

ZDNet