19 de abril de 2024

Atores de ransomware vindo atrás seu hypervisor

15 de março de 2021

O ransomware é uma das formas mais assustadoras de malware enfrentadas pelas empresas hoje e agora está vindo após seus hipervisores. CrowdStrike relatou recentemente duas novas cepas de ransomware que se infiltram em dispositivos VMware ESXi.

Novos desenvolvimentos

Na semana passada , dois tipos de ransomware reequipados foram encontrados explorando vulnerabilidades no sistema de hipervisor VMware ESXi e criptografando discos rígidos virtuais ou VMs.

  • No H2 2020, os grupos Sprite Spider e Carbon Spider implantaram versões Linux de Defray777 e Darkside, respectivamente, visando hipervisores VMware.
  • De acordo com alguns especialistas, os atacantes abusaram de duas vulnerabilidades no VMware ESXi, rastreadas como CVE-2019-5544 e CVE-2020-3992.
  • Os hipervisores comprometidos ajudaram os adversários a aumentar rapidamente o escopo dos sistemas afetados no ambiente da vítima; assim, aumentando a pressão sobre as vítimas para um pagamento rápido.
  • CrowdStrike rotulou a técnica como Hipervisor Jackpotting.

Deve-se observar que o ESXi não é um sistema operacional Linux; entretanto, os desenvolvedores podem executar alguns binários ELF compilados para Linux no shell de comando ESXi.

Ataques de ransomware em máquinas virtuais não são novos

  • Em outubro de 2020, o RegretLocker apresentava técnicas avançadas que permitiam aos atores criptografar discos rígidos virtuais e fechar arquivos abertos para criptografá-los. Eles usaram as funções OpenVirtualDisk, AttachVirtualDisk e GetVirtualDiskPhysicalPath para montar discos virtuais para criptografia.
  • Os agora extintos atores do Maze também foram observados, no ano passado, adotando técnicas para distribuir cargas úteis de criptografia de arquivos no disco rígido virtual que executa o Windows 7.
  • Em maio de 2020, o grupo RagnarLocker foi flagrado executando o Oracle VirtualBox para atacar uma vítima dentro de uma máquina virtual do Windows XP enquanto escondia sua presença.

Proteja-o agora

A flexibilidade operacional oferecida pelos hipervisores exige a atenção das equipes de segurança para proteger excepcionalmente a infraestrutura e evitar acidentes. Proteger uma VM realmente não é tão diferente de proteger um servidor físico. Além de todas as práticas recomendadas padrão, como manter o sistema operacional e os aplicativos atualizados com os patches mais recentes, usar senhas fortes, executar software anti-malware, é uma boa ideia verificar as recomendações de segurança do fornecedor do hipervisor.

Fonte: https://cyware.com/

Matérias Relacionadas

Novos ataques ‘SteganoAmor’ usam esteganografia para atingir 320 organizações em todo o mundo

16 de abril de 2024

Altos funcionários novamente recuam na proibição de pagamento de resgate

16 de abril de 2024

Campanha cibercriminosa espalha ladrões de informações, destacando riscos para jogos na Web3

15 de abril de 2024

Veja mais..

Vendas na Dark Web impulsionam grande aumento em ataques de credenciais

19 de abril de 2024

Falso ‘cheater’ atrai jogadores para espalhar malware infostealer

19 de abril de 2024

Pesquisadores realizam Jailbreak de um dispositivo Cisco para executar DOOM

18 de abril de 2024

Ameaças internas(insiders) aumentam 14% anualmente

18 de abril de 2024

Possíveis hackers chineses usam OpenMetadata para criptominar

18 de abril de 2024