Foi detetada, por especialistas em cibersegurança, uma nova atividade de ransomware que afeta entidades na Europa e na América do Norte. O relato foi feito pelo CERT-FR que detetou a campanha de exploração que afetou empresas que tinham o software ESXi VMware a funcionar sem os mais recentes patches de segurança e recomendações de segurança aplicadas nas suas infraestruturas.
A Kaspersky deixou um comentário onde explica um pouco melhor o que pode suceder com esta campanha de ransomware assim como o método que está a ser utilizado pelos hackers.

Atualizações são relevantes para a proteção contra ataques de ransomware
As empresas em questão tinham o software ESXi VMware a funcionar sem os mais recentes patches de segurança, o que levou a uma falha critica que permitiu a entrada dos atacantes de forma facilitada nos sistemas das empresas.
Um grupo desconhecido desenvolveu um resgate conhecido pela indústria como ESXiArgs que, entre a exploração do CVE -2021-21974 encriptou os recursos da infraestrutura da ESXi VMware de múltiplas empresas em todo o mundo.

“O ransomware suporta diferentes parâmetros para encriptar o sistema para personalizar o processo de encriptação, e o ficheiro index.html por defeito do servidor ESXi será substituído por uma nota de resgate informando o utilizador sobre como fazer o pagamento para um endereço BTC específico. Cada infecção contém um endereço BTC diferente, e o serviço de resgate utiliza a mesma biblioteca que a observada com o cacifo Babuk. Babuk fez manchetes em 2021, quando declarou tornar o seu código fonte publicamente disponível, a fim de “fazer algo como Open Source RaaS”. O construtor da Babuk teve uma fuga de informação, e avaliamos que alguns grupos tiraram algumas ideias da fuga para a implementar em futuros desenvolvimentos de ransomware como ESXiArgs.”
Marc Rivero, Senior Security Researcher, GReAT, Kaspersky

O especialista da Kaspersky aproveita o comentário para deixar ainda algumas dicas de segurança. “A fim de proteger contra-ataques de resgate, mantenha sempre o software atualizado em todos os dispositivos que utiliza para evitar que os atacantes explorem vulnerabilidades e se infiltravam na sua rede em primeiro lugar.”
De seguida é sempre recomendável que a empresa concentre a estratégia de defesa na deteção de movimentos laterais e de filtragem de dados para a Internet, prestando especial atenção “ao tráfego de saída para detetar ligações de cibercriminosos à sua rede”.
Por fim, Marc Ribeiro aconselha a criar “backups offline que os intrusos não possam adulterar e assegure-se de que pode aceder rapidamente quando necessário ou em caso de emergência.” As empresas devem ainda “habilitar proteção de resgate para todos os pontos terminais”.
Acompanhe as nossas notícias no seu email
