Cheers ransomware atinge sistemas VMware ESXi

Cheers ransomware atinge sistemas VMware ESXi. Outra variedade de ransomware tem como alvo os servidores VMware ESXi, que têm sido o foco de extorsionários e outros criminosos nos últimos meses.

Apelidado de Cheers, o ransomware, depois de comprometer um servidor, inicia o criptografador, que enumera automaticamente as máquinas virtuais em execução e as encerra

Um novo ransomware apelidado de ‘Cheers’ iniciou suas operações visando servidores VMware ESXi vulneráveis. O VMware ESXi é uma plataforma de virtualização usada por grandes organizações em todo o mundo e justamente por isso é extremamente visada por grupos de hackers, sendo os mais recentes ataques a esses servidores partiram dos operadores do LockBit e Hive.

Embora apenas uma variante de ransomware do Linux tenha sido encontrada até o momento, provavelmente também há uma variante do Windows disponível.

O ESXi, um hypervisor bare-metal usado por uma ampla variedade de organizações em todo o mundo, tornou-se o alvo de famílias de ransomware como LockBit , Hive e RansomEXX . O uso onipresente da tecnologia e o tamanho de algumas empresas que a utilizam a tornaram uma maneira eficiente de os criminosos infectarem um grande número de sistemas virtualizados e dispositivos e equipamentos conectados, de acordo com pesquisadores da Trend Micro.

ESXi é amplamente usado em configurações corporativas para virtualização de servidores“, observou a Trend Micro em um artigo nesta semana. “Portanto, é um alvo popular para ataques de ransomware… O comprometimento dos servidores ESXi tem sido um esquema usado por alguns grupos notórios de criminosos cibernéticos porque é um meio de espalhar rapidamente o ransomware para muitos dispositivos.

Yehuda Rosen, engenheiro de software sênior da empresa de segurança cibernética nVisium, disse que um servidor ESXi “é muito mais do que apenas um servidor“.

O mais recente ransomware direcionado ao hipervisor da VMware é um que os pesquisadores da Trend estão chamando de Cheerscrypt – ou simplesmente Cheers – e, como um número crescente de surtos, vem com uma ameaça de extorsão dupla destinada a incentivar as vítimas a pagar o resgate exigido.

Na nota de resgate que aparece nas telas da vítima, os cibercriminosos dão à organização três dias para contatá-los. Caso contrário, o grupo liberará publicamente os dados exfiltrados da caixa comprometida e aumentará o valor do resgate.

Para conseguir isso, parece que os malfeitores precisam obter acesso privilegiado ao shell ( desativado por padrão ) ao servidor hipervisor ESXi de destino ou obter a capacidade de executar comandos no host. Uma vez carregado e executado no servidor ESXi em um ambiente Linux, o Cheers ransomware executa um comando para encerrar todos os processos de máquina virtual (VM) em execução usando um comando esxcli e executa o código para criptografar dados na caixa. “O encerramento dos processos da VM garante que o ransomware possa criptografar com sucesso os arquivos relacionados ao VMware”, escreveu o Team Trend.

O ransomware procura arquivos de log e arquivos relacionados ao VMware que tenham as extensões .log, .vmdk, .vmem, .vswp e .vmsn. Para cada diretório que ele criptografa, o malware deixa um ransomware com o nome “Como restaurar seus arquivos.txt“. Os arquivos que foram criptografados com sucesso recebem a extensão .Cheers.

Em uma reviravolta estranha, o ransomware primeiro renomeia os arquivos que planeja criptografar antes de realmente criptografá-los, escreveu o pesquisador, acrescentando que “assim, se a permissão de acesso ao arquivo não foi concedida, ele não pode prosseguir com a criptografia real“.

Depois que a criptografia é concluída, o ransomware exibe estatísticas do que foi feito, desde o número de arquivos criptografados e de arquivos não criptografados até a quantidade de dados criptografados.

O arquivo executável Cheerscrypt inclui a metade pública de um par de chaves pública-privada; os mentores do malware mantêm a metade privada para si. O programa usa a cifra de fluxo SOSEMANUK para criptografar os dados da máquina comprometida. Aqui está o processo de embaralhamento de arquivos, de acordo com a Trend:

Para cada arquivo a ser criptografado, ele gera um par de chaves públicas-privadas ECDH na máquina por meio de /dev/urandom do Linux. Em seguida, ele usa sua chave pública incorporada e a chave privada gerada para criar uma chave secreta que será usada como uma chave SOSEMANUK. Depois de criptografar o arquivo, ele anexará a chave pública gerada a ele. Como a chave privada gerada não é salva, não se pode usar a chave pública incorporada com a chave privada gerada para produzir a chave secreta. Portanto, a descriptografia só é possível se a chave privada do agente mal-intencionado for conhecida.

As organizações precisam ser proativas ao proteger os sistemas contra ransomware e outros ataques, escreveram eles. Isso inclui adotar estruturas de segurança como as do Centro de Segurança da Internet e do Instituto Nacional de Padrões e Tecnologia, que segundo eles “ajudam as equipes de segurança a mitigar riscos e minimizar a exposição a ameaças. Adotar as melhores práticas discutidas em suas respectivas estruturas pode economizar organizações o tempo e o esforço quando personalizam os seus próprios.

Archie Agarwal, fundador e CEO da empresa de segurança cibernética ThreatModeler, disse que as empresas precisam ter um pensamento claro.

Assim como os invasores fazem um cálculo de risco/recompensa para determinar a superfície de ataque escolhida, os defensores devem fazer uma análise de custo/benefício na mitigação”, disse Agarwal ao The Register . “Se o ransomware é um vetor que as organizações temem, elas devem tentar bloquear todos os vetores de entrada que o ransomware – como a água – procura? Ou as organizações devem investir em retenção de dados e esquema de replicação que impeça que o ataque do ransomware os afete?

Fonte: The Register

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!