Ataques de ransomware exploram vulnerabilidades do VMware ESXi. Os ataques de ransomware direcionados à infraestrutura VMware ESXi seguem um padrão estabelecido, independentemente do malware de criptografia de arquivos implantado, mostram novas descobertas.
“As plataformas de virtualização são um componente central da infraestrutura de TI organizacional, mas muitas vezes sofrem de configurações incorretas e vulnerabilidades inerentes, tornando-as um alvo lucrativo e altamente eficaz para abuso de agentes de ameaças”, disse a empresa de segurança cibernética Sygnia em um relatório compartilhado com The Hacker News.
A empresa israelense, por meio de seus esforços de resposta a incidentes envolvendo diversas famílias de ransomware como LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat e Cheerscrypt, descobriu que os ataques a ambientes de virtualização aderem a uma sequência semelhante de ações.
Isso inclui as seguintes etapas –
- Obtenção de acesso inicial através de ataques de phishing, downloads de arquivos maliciosos e exploração de vulnerabilidades conhecidas em ativos voltados para a Internet
- Escalando seus privilégios para obter credenciais para hosts ESXi ou vCenter usando ataques de força bruta ou outros métodos
- Validando seu acesso à infraestrutura de virtualização e implantando o ransomware
- Excluir ou criptografar sistemas de backup ou, em alguns casos, alterar as senhas, para complicar os esforços de recuperação
- Exfiltração de dados para locais externos, como Mega.io, Dropbox ou seus próprios serviços de hospedagem
- Iniciando a execução do ransomware para criptografar a pasta “/vmfs/volumes” do sistema de arquivos ESXi
- Propagação do ransomware para servidores e estações de trabalho não virtualizados para ampliar o escopo do ataque
Para mitigar os riscos representados por tais ameaças, é recomendado que as organizações garantam a implementação de monitorização e registo adequados, criem mecanismos de backup robustos, apliquem medidas de autenticação fortes, reforcem o ambiente e implementem restrições de rede para evitar movimentos laterais.
O desenvolvimento da empresa de segurança cibernética Rapid7 alertou sobre uma campanha em andamento desde o início de março de 2024 que emprega anúncios maliciosos em mecanismos de pesquisa comumente usados para distribuir instaladores trojanizados para WinSCP e PuTTY por meio de domínios typosquatted e, em última análise, instalar ransomware.
Esses instaladores falsificados atuam como um canal para descartar o kit de ferramentas pós-exploração do Sliver, que é então usado para entregar mais cargas úteis, incluindo um Cobalt Strike Beacon que é aproveitado para implantação de ransomware.
A atividade compartilha sobreposições táticas com ataques anteriores de ransomware BlackCat que usaram malvertising como vetor de acesso inicial como parte de uma campanha recorrente que distribui o malware Nitrogen .
“A campanha afeta desproporcionalmente os membros das equipes de TI, que têm maior probabilidade de baixar os arquivos trojanizados enquanto procuram versões legítimas”, disse o pesquisador de segurança Tyler McGraw .
“A execução bem-sucedida do malware fornece ao agente da ameaça uma posição elevada e impede a análise, confundindo as intenções das ações administrativas subsequentes”.
A divulgação também segue o surgimento de novas famílias de ransomware como Beast , MorLock , Synapse e Trinity , com o grupo MorLock perseguindo extensivamente empresas russas e criptografando arquivos sem primeiro exfiltrá-los.
“Para restaurar o acesso aos dados, os atacantes [MorLock] exigem um resgate considerável, cujo valor pode ser de dezenas e centenas de milhões de rublos”, disse a filial russa do Grupo-IB, FACCT.
De acordo com dados partilhados pelo NCC Group, os ataques globais de ransomware em abril de 2024 registaram uma queda de 15% em relação ao mês anterior, caindo de 421 para 356.
Notavelmente, abril de 2024 também marca o fim do reinado de oito meses da LockBit como o ator de ameaça com o maior número de vítimas, destacando suas lutas para se manter à tona após uma derrubada abrangente das autoridades no início deste ano.
“Em uma reviravolta surpreendente, no entanto, o LockBit 3.0 não foi o grupo de ameaças mais proeminente no mês e teve menos da metade dos ataques observados em março”, disse a empresa . “Em vez disso, o Play foi o grupo de ameaça mais ativo, seguido logo depois pelos Hunters.”
A turbulência no cenário do ransomware foi complementada por criminosos cibernéticos que anunciam serviços ocultos de Virtual Network Computing ( hVNC ) e de acesso remoto, como Pandora e TMChecker , que poderiam ser utilizados para exfiltração de dados, implantação de malware adicional e facilitação de ataques de ransomware.
“Vários corretores de acesso inicial (IABs) e operadores de ransomware usam [TMChecker] para verificar os dados comprometidos disponíveis quanto à presença de credenciais válidas para VPN corporativa e contas de e-mail”, disse Resecurity.
“O aumento simultâneo do TMChecker é, portanto, significativo porque reduz substancialmente as barreiras de custo à entrada de agentes de ameaças que buscam obter acesso corporativo de alto impacto, seja para exploração primária ou para venda a outros adversários no mercado secundário”.
Fonte: The Hackers News
Veja também:
- Segurança digital no 1º trimestre de 2024
- 10 maneiras de proteger aplicativos e APIs
- Ciberataques: 71% de aumento anual usando usuários e senhas legítimos
- 82% Ataques com USB causam interrupções nas operações
- Novo backdoor do Linux
- Treinamento cibernético não precisa ser chato
- Ataques de DDoS: como identificá-los e o que fazer se for vítima
- 4 em cada 10 ciberincidentes graves são ransomware
- Investimentos em cybersecurity: os 5 erros que impedem que o CISO seja bem-sucedido
- Dell confirma ataque cibernético, nega impacto material
- Criminosos usam campanhas de doações para aplicar golpes no RS
- Redbelt alerta para vulnerabilidades Palo Alto, Windows e Cisco
Deixe sua opinião!