Página inicial
Atualidade

Ataque massivo de Ransomware visa os Servidores VMware ESXi

Ataque massivo de Ransomware visa os Servidores VMware ESXi

 Ataque massivo de Ransomware visa os Servidores VMware ESXi 

Os servidores VMware em todo o mundo sofreram um extenso ataque de ransomware, o maior ciberataque de non-windows ransomware de que há registo. A Check Point deixa-lhe tudo o que precisa de saber e fazer 


Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, dá conta do maior ciberataque de ransomware realizado a sistemas non-windows da história, deixando os passos necessários para se proteger.

De acordo com a análise da equipa da CPR, o risco deste ataque de ransomware não é limitado apenas aos prestadores de serviços específicos visados. Os criminosos cibernéticos exploraram o CVE-2021-21974, uma falha já reportada em Fevereiro de 2021. Mas o que pode tornar o impacto ainda mais devastador é a utilização destes servidores, nos quais outros servidores virtuais estão normalmente a funcionar. Assim, os danos são provavelmente generalizados, mais do que o inicialmente relatado.

O que aconteceu? 

A equipa francesa de resposta a emergências informáticas e a autoridade nacional italiana de cibersegurança (ACN) alertaram oficialmente as organizações de todo o mundo contra um ataque de ransomware que visava milhares de servidores VMware ESXI, explorando uma vulnerabilidade conhecida que foi corrigida em Fevereiro de 2021 (CVE-2021-21974).

Como estes servidores prestam serviços a milhares de outros servidores, o impacto parece ser global, afetando organizações na França, Finlândia, Itália, Canadá e EUA.

A VMware descreveu a vulnerabilidade como uma heap-overflow OpenSLP que poderia levar à execução de um código arbitrário.


Quem foi afetado?

Todas as pessoas que estão a executar máquinas ESXi (CVE-2021-21974) sem as devidas correções, expostas à Internet com a porta 427.

O CVE-2021-21974 afeta os seguintes sistemas:

  • ESXi versões 7.x anteriores ao ESXi70U1c-17325551
  • ESXi versões 6.7.x anteriores ao ESXi670-202102401-SG
  • ESXi versões 6.5.x anteriores ao ESXi650-202102101-SG

Através de uma query específica da Censys, podemos ver que já existem mais de 1.900 dispositivos ESXi infetados, enquanto a maioria das vítimas são de fornecedores de serviços OVH e Hetzner.

A OVH oferece máquinas de metal uma opção de instalar o ESXi nas mesmas. Em muitos casos, os clientes expõem-nas na Internet e nunca corrigem. No dia 3 de Fevereiro, a OVH publicou no seu blogue onde dá conta do encerramento da porta 427 aos seus clientes, para minimizar a ameaça.


Atualmente o que se sabe? 

O maior ataque de ransomware a sistemas non-Windows de que há registo

Este ataque maciço aos servidores ESXi é considerado um dos mais extensos ciberataques de ransomware de máquinas non-windows jamais reportados. O que torna a situação ainda mais preocupante é o facto de, até recentemente, os ataques de "ransomware" estarem mais concentrados em máquinas baseadas em Windows. Os autores das ameaças de ransomware aperceberam-se de quão cruciais são os servidores Linux para os sistemas das instituições e organizações. Isto levou-os certamente a investir no desenvolvimento de uma arma cibernética tão poderosa e a de fazer com que o ransomware se tornasse tão sofisticado.

De acordo com a nossa presente análise, o risco deste ataque de ransomware não é limitado apenas aos prestadores de serviços específicos visados. Os criminosos cibernéticos exploraram o CVE-2021-21974, uma falha já reportada em Fevereiro de 2021. Mas o que pode tornar o impacto ainda mais devastador é a utilização destes servidores, nos quais outros servidores virtuais estão normalmente a funcionar. Assim, os danos são provavelmente generalizados, mais do que o inicialmente relatado.


A evolução do Ransomware

Nos primeiros tempos, os ataques de ransomware eram conduzidos por entidades que desenvolviam e distribuíam grandes quantidades de cargas automatizadas a vítimas selecionadas aleatoriamente, recolhendo pequenas somas de cada ataque "bem sucedido". Avançando rapidamente para 2023, estes ataques evoluíram para se tornarem processos operados maioritariamente por humanos, levados a cabo por múltiplas entidades ao longo de várias semanas. Os atacantes selecionam cuidadosamente as suas vítimas de acordo com um perfil desejado, e implementam uma série de medidas de pressão para extorquir somas significativas de dinheiro. As ameaças de exposição de dados sensíveis provaram ser muito eficazes. 


O impacto dos ataques de Ransomware sobre as organizações (2022)

O ThreatCloud da Check Point fornece informações sobre ameaças em tempo real derivadas de centenas de milhões de sensores em todo o mundo, através de redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research - o braço de inteligência e pesquisa da Check Point Software.

De acordo com os dados da Check Point pelo menos 1 em cada 13 organizações sofreu uma tentativa de ataque de Ransomware no ano passado.

  • Na região APAC - 1 em 11 organizações
  • Na região EMEA - 1 em 12 organizações
  • Na região das Américas - 1 em 19 organizações

A análise das primeiras indicações de ameaça, tal como foi observado pelo CPIRT (Serviços de Resposta a Incidentes) em 2022, indica que quase 50% das investigações envolvem infeções de ransomware. Os dados do CPIRT mostram que os maiores riscos que são visíveis da perspetiva de uma grande empresa - são ataques de ransomware e o comprometimento total da rede.  


Mitigação

O Check Point Quantum IPS protege da vulnerabilidade da rede que foi explorada neste ataque (CVE-2021-21974).

Para proteção de serviços empresariais na cloud, o CloudGuard for Cloud Network Security fornece prevenção avançada de ameaças e segurança automatizada de redes na cloud através de um gateway de segurança virtual, com gestão de segurança unificada.

A VMware publicou soluções para ajudar os proprietários dos servidores a mitigar o risco de exploração do CVE. A OVHcloud forneceu recomendações incluindo medidas de emergência aos clientes da OVHcloud que utilizam ESXi.

O aconselhamento e recomendações completas da VMware em resposta ao CVE podem ser encontrados aqui: https://www.vmware.com/security/advisories/VMSA-2021-0002.html


Como Prevenir o próximo ataque de ransomware

  1. Correções Atualizadas: Manter computadores e servidores atualizados e aplicar correções de segurança, especialmente aqueles rotulados como críticos, pode ajudar a limitar a vulnerabilidade de uma organização a ataques de ransomware.
  2. Mantenha o seu software atualizado. Os atacantes de ransomware encontram por vezes um ponto de entrada dentro das suas aplicações e software, registando as vulnerabilidades e capitalizando nelas. 
  3. Implementar Sistemas de Prevenção de Intrusão que detetem ou impeçam tentativas de explorar fraquezas em sistemas ou aplicações vulneráveis, protegendo-o na luta para explorar as últimas ameaças de violação. As proteções IPS Check Point na nossa Next Generation Firewall são actualizadas automaticamente. Quer a vulnerabilidade tenha sido lançada há anos, ou há alguns minutos, a sua organização estará protegida.
  4. Escolher a prevenção em vez da deteção: Muitos afirmam que os ataques vão acontecer, e não há maneira de os evitar, e, portanto, a única coisa que resta fazer é investir em tecnologias que detetem o ataque uma vez que este já tenha violado a rede e atenuem os danos o mais depressa possível. Isto não é verdade! Os ataques não só podem ser bloqueados, como podem ser evitados, incluindo ataques de zero-day e malware desconhecido. 
  5. Cópia de Segurança de Dados Robusta: O objetivo do ransomware é forçar a vítima a pagar um resgate para recuperar o acesso aos seus dados encriptados. No entanto, isto só é eficaz se o alvo perder o acesso aos seus dados. Uma solução de backup de dados robusta e segura é uma forma eficaz de mitigar o impacto de um ataque de resgate. Se os sistemas tiverem backups regulares, então os dados perdidos devido a um ataque de resgate devem ser mínimos ou inexistentes. No entanto, é importante assegurar que a solução de salvaguarda de dados não possa também ser encriptada. Os dados devem ser armazenados num formato só de leitura para evitar a propagação do programa de resgate a unidades que contenham dados de recuperação.
  6. Soluções Anti-Ransomware: Embora as medidas de prevenção de ransomware anteriores possam ajudar a mitigar a exposição de uma organização às ameaças de ransomware, não proporcionam uma proteção perfeita. Alguns operadores de ransomware usam e-mails de spear phishing bem estudados e altamente direcionados como o seu vetor de ataque. Estes e-mails podem enganar até mesmo os funcionários mais diligentes, resultando no ataque de ransomware ganhar acesso aos sistemas internos de uma organização. A proteção contra este "scansomware" que "desliza através das brechas" requer uma solução de segurança especializada. Para alcançar o seu objetivo, o ransomware deve realizar certas ações anómalas, tais como abrir e encriptar um grande número de ficheiros. As soluções anti-ransomware monitorizam programas em execução num computador em busca de comportamentos suspeitos habitualmente exibidos pelo ransomware, e se estes comportamentos forem detetados, o programa pode tomar medidas para parar a encriptação antes que mais danos possam ser feitos.


Quando utiliza a Check Point para garantir o seu negócio, obtém uma prevenção precisa contra os ataques mais avançados através do poder da ThreatCloud. A ThreatCloud atualiza as ameaças e proteções recentemente reveladas em tempo real em toda a carteira da Check Point.


Google News

Siga o NetThings no Google News

Fique a par de todas as novidades tecnológicas em tempo real.

⭐ SEGUIR NO GOOGLE NEWS

Acompanhe-nos também em:

-->