Cheers ransomware atinge sistemas VMware ESXi. Outra variedade de ransomware tem como alvo os servidores VMware ESXi, que têm sido o foco de extorsionários e outros criminosos nos últimos meses.
Apelidado de Cheers, o ransomware, depois de comprometer um servidor, inicia o criptografador, que enumera automaticamente as máquinas virtuais em execução e as encerra
Um novo ransomware apelidado de ‘Cheers’ iniciou suas operações visando servidores VMware ESXi vulneráveis. O VMware ESXi é uma plataforma de virtualização usada por grandes organizações em todo o mundo e justamente por isso é extremamente visada por grupos de hackers, sendo os mais recentes ataques a esses servidores partiram dos operadores do LockBit e Hive.
Embora apenas uma variante de ransomware do Linux tenha sido encontrada até o momento, provavelmente também há uma variante do Windows disponível.
O ESXi, um hypervisor bare-metal usado por uma ampla variedade de organizações em todo o mundo, tornou-se o alvo de famílias de ransomware como LockBit , Hive e RansomEXX . O uso onipresente da tecnologia e o tamanho de algumas empresas que a utilizam a tornaram uma maneira eficiente de os criminosos infectarem um grande número de sistemas virtualizados e dispositivos e equipamentos conectados, de acordo com pesquisadores da Trend Micro.
“ESXi é amplamente usado em configurações corporativas para virtualização de servidores“, observou a Trend Micro em um artigo nesta semana. “Portanto, é um alvo popular para ataques de ransomware… O comprometimento dos servidores ESXi tem sido um esquema usado por alguns grupos notórios de criminosos cibernéticos porque é um meio de espalhar rapidamente o ransomware para muitos dispositivos.“
Yehuda Rosen, engenheiro de software sênior da empresa de segurança cibernética nVisium, disse que um servidor ESXi “é muito mais do que apenas um servidor“.
O mais recente ransomware direcionado ao hipervisor da VMware é um que os pesquisadores da Trend estão chamando de Cheerscrypt – ou simplesmente Cheers – e, como um número crescente de surtos, vem com uma ameaça de extorsão dupla destinada a incentivar as vítimas a pagar o resgate exigido.
Na nota de resgate que aparece nas telas da vítima, os cibercriminosos dão à organização três dias para contatá-los. Caso contrário, o grupo liberará publicamente os dados exfiltrados da caixa comprometida e aumentará o valor do resgate.
Para conseguir isso, parece que os malfeitores precisam obter acesso privilegiado ao shell ( desativado por padrão ) ao servidor hipervisor ESXi de destino ou obter a capacidade de executar comandos no host. Uma vez carregado e executado no servidor ESXi em um ambiente Linux, o Cheers ransomware executa um comando para encerrar todos os processos de máquina virtual (VM) em execução usando um comando esxcli e executa o código para criptografar dados na caixa. “O encerramento dos processos da VM garante que o ransomware possa criptografar com sucesso os arquivos relacionados ao VMware”, escreveu o Team Trend.
O ransomware procura arquivos de log e arquivos relacionados ao VMware que tenham as extensões .log, .vmdk, .vmem, .vswp e .vmsn. Para cada diretório que ele criptografa, o malware deixa um ransomware com o nome “Como restaurar seus arquivos.txt“. Os arquivos que foram criptografados com sucesso recebem a extensão .Cheers.
Em uma reviravolta estranha, o ransomware primeiro renomeia os arquivos que planeja criptografar antes de realmente criptografá-los, escreveu o pesquisador, acrescentando que “assim, se a permissão de acesso ao arquivo não foi concedida, ele não pode prosseguir com a criptografia real“.
Depois que a criptografia é concluída, o ransomware exibe estatísticas do que foi feito, desde o número de arquivos criptografados e de arquivos não criptografados até a quantidade de dados criptografados.
O arquivo executável Cheerscrypt inclui a metade pública de um par de chaves pública-privada; os mentores do malware mantêm a metade privada para si. O programa usa a cifra de fluxo SOSEMANUK para criptografar os dados da máquina comprometida. Aqui está o processo de embaralhamento de arquivos, de acordo com a Trend:
As organizações precisam ser proativas ao proteger os sistemas contra ransomware e outros ataques, escreveram eles. Isso inclui adotar estruturas de segurança como as do Centro de Segurança da Internet e do Instituto Nacional de Padrões e Tecnologia, que segundo eles “ajudam as equipes de segurança a mitigar riscos e minimizar a exposição a ameaças. Adotar as melhores práticas discutidas em suas respectivas estruturas pode economizar organizações o tempo e o esforço quando personalizam os seus próprios.“
Archie Agarwal, fundador e CEO da empresa de segurança cibernética ThreatModeler, disse que as empresas precisam ter um pensamento claro.
“Assim como os invasores fazem um cálculo de risco/recompensa para determinar a superfície de ataque escolhida, os defensores devem fazer uma análise de custo/benefício na mitigação”, disse Agarwal ao The Register . “Se o ransomware é um vetor que as organizações temem, elas devem tentar bloquear todos os vetores de entrada que o ransomware – como a água – procura? Ou as organizações devem investir em retenção de dados e esquema de replicação que impeça que o ataque do ransomware os afete?“
Fonte: The Register
Veja também:
- Patch Tuesday de implementa erro de autenticação
- MITRE cria estrutura para segurança da cadeia de suprimentos
- Ataques de phishing aumentaram 54% no primeiro trimestre
- CISA emite alerta de emergencia para mitigar vulnerabilidades do VMware
- QNAP alerta clientes de NAS sobre novos ataques do DeadBolt Ransomware
- Webinar Warning: Avoid GDPR Sanctions on Your Business
- Pegasus programa de espionagem israelense que pode espionar seu celular
- Hacktivistas atingem sites governamentais em ataques DDoS ‘Slow HTTP’
- Consultas SQL bypassam WAFs de aplicações web
- O que é Port Scanning ?
- SIM Swap: saiba tudo sobre o golpe que cresce no mundo inteiro
- iPhones ainda que desligados podem executar Malwares
Deixe sua opinião!