Atores de ransomware vindo atrás seu hypervisor

Novos desenvolvimentos

Na semana passada , dois tipos de ransomware reequipados foram encontrados explorando vulnerabilidades no sistema de hipervisor VMware ESXi e criptografando discos rígidos virtuais ou VMs.

• No H2 2020, os grupos Sprite Spider e Carbon Spider implantaram versões Linux de Defray777 e Darkside, respectivamente, visando hipervisores VMware.
• De acordo com alguns especialistas, os atacantes abusaram de duas vulnerabilidades no VMware ESXi, rastreadas como CVE-2019-5544 e CVE-2020-3992.
• Os hipervisores comprometidos ajudaram os adversários a aumentar rapidamente o escopo dos sistemas afetados no ambiente da vítima; assim, aumentando a pressão sobre as vítimas para um pagamento rápido.
• CrowdStrike rotulou a técnica como Hipervisor Jackpotting.

Deve-se observar que o ESXi não é um sistema operacional Linux; entretanto, os desenvolvedores podem executar alguns binários ELF compilados para Linux no shell de comando ESXi.

Ataques de ransomware em máquinas virtuais não são novos

• Em outubro de 2020, o RegretLocker apresentava técnicas avançadas que permitiam aos atores criptografar discos rígidos virtuais e fechar arquivos abertos para criptografá-los. Eles usaram as funções OpenVirtualDisk, AttachVirtualDisk e GetVirtualDiskPhysicalPath para montar discos virtuais para criptografia.
• Os agora extintos atores do Maze também foram observados, no ano passado, adotando técnicas para distribuir cargas úteis de criptografia de arquivos no disco rígido virtual que executa o Windows 7.
• Em maio de 2020, o grupo RagnarLocker foi flagrado executando o Oracle VirtualBox para atacar uma vítima dentro de uma máquina virtual do Windows XP enquanto escondia sua presença.

Proteja-o agora

A flexibilidade operacional oferecida pelos hipervisores exige a atenção das equipes de segurança para proteger excepcionalmente a infraestrutura e evitar acidentes. Proteger uma VM realmente não é tão diferente de proteger um servidor físico. Além de todas as práticas recomendadas padrão, como manter o sistema operacional e os aplicativos atualizados com os patches mais recentes, usar senhas fortes, executar software anti-malware, é uma boa ideia verificar as recomendações de segurança do fornecedor do hipervisor.

Fonte: https://cyware.com/