Foi detetada, por especialistas em cibersegurança, uma nova atividade de ransomware que afeta entidades na Europa e na América do Norte. O relato foi feito pelo CERT-FR que detetou a campanha de exploração que afetou empresas que tinham o software ESXi VMware a funcionar sem os mais recentes patches de segurança e recomendações de segurança aplicadas nas suas infraestruturas.
A Kaspersky deixou um comentário onde explica um pouco melhor o que pode suceder com esta campanha de ransomware assim como o método que está a ser utilizado pelos hackers.
Atualizações são relevantes para a proteção contra ataques de ransomware
As empresas em questão tinham o software ESXi VMware a funcionar sem os mais recentes patches de segurança, o que levou a uma falha critica que permitiu a entrada dos atacantes de forma facilitada nos sistemas das empresas.
Um grupo desconhecido desenvolveu um resgate conhecido pela indústria como ESXiArgs que, entre a exploração do CVE -2021-21974 encriptou os recursos da infraestrutura da ESXi VMware de múltiplas empresas em todo o mundo.
“O ransomware suporta diferentes parâmetros para encriptar o sistema para personalizar o processo de encriptação, e o ficheiro index.html por defeito do servidor ESXi será substituído por uma nota de resgate informando o utilizador sobre como fazer o pagamento para um endereço BTC específico. Cada infecção contém um endereço BTC diferente, e o serviço de resgate utiliza a mesma biblioteca que a observada com o cacifo Babuk. Babuk fez manchetes em 2021, quando declarou tornar o seu código fonte publicamente disponível, a fim de “fazer algo como Open Source RaaS”. O construtor da Babuk teve uma fuga de informação, e avaliamos que alguns grupos tiraram algumas ideias da fuga para a implementar em futuros desenvolvimentos de ransomware como ESXiArgs.”
Marc Rivero, Senior Security Researcher, GReAT, Kaspersky
O especialista da Kaspersky aproveita o comentário para deixar ainda algumas dicas de segurança. “A fim de proteger contra-ataques de resgate, mantenha sempre o software atualizado em todos os dispositivos que utiliza para evitar que os atacantes explorem vulnerabilidades e se infiltravam na sua rede em primeiro lugar.”
De seguida é sempre recomendável que a empresa concentre a estratégia de defesa na deteção de movimentos laterais e de filtragem de dados para a Internet, prestando especial atenção “ao tráfego de saída para detetar ligações de cibercriminosos à sua rede”.
Por fim, Marc Ribeiro aconselha a criar “backups offline que os intrusos não possam adulterar e assegure-se de que pode aceder rapidamente quando necessário ou em caso de emergência.” As empresas devem ainda “habilitar proteção de resgate para todos os pontos terminais”.