Ataques de ransomware direcionados à infraestrutura VMware ESXi seguem um padrão estabelecido, independentemente do malware de criptografia de arquivos implantado, mostram novas descobertas.
“Plataformas de virtualização são um componente central da infraestrutura de TI organizacional, no entanto, muitas vezes sofrem de configurações incorretas e vulnerabilidades inerentes, tornando-as um alvo lucrativo e altamente eficaz para os atores de ameaças explorarem”, disse a empresa de cibersegurança Sygnia em um relatório compartilhado com The Hacker News.
A empresa israelense, por meio de seus esforços de resposta a incidentes envolvendo várias famílias de ransomware como LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat e Cheerscrypt, descobriu que os ataques a ambientes de virtualização seguem uma sequência de ações semelhante.
Isso inclui as seguintes etapas –
– Obtendo acesso inicial por meio de ataques de phishing, downloads maliciosos de arquivos e exploração de vulnerabilidades conhecidas em ativos expostos à internet
– Escalando seus privilégios para obter credenciais para hosts ESXi ou vCenter usando ataques de força bruta ou outros métodos
– Validando seu acesso à infraestrutura de virtualização e implantando o ransomware
– Excluindo ou criptografando sistemas de backup, ou em alguns casos, alterando as senhas, para complicar os esforços de recuperação
– Exfiltrando dados para locais externos como Mega.io, Dropbox ou seus próprios serviços de hospedagem
– Propagando o ransomware para servidores não virtualizados e estações de trabalho para ampliar o escopo do ataque.
Para mitigar os riscos apresentados por tais ameaças, é recomendado que as organizações garantam que monitoramento e logging adequados estejam em vigor, criem mecanismos robustos de backup, apliquem medidas de autenticação forte, fortaleçam o ambiente, e implementem restrições de rede para evitar movimentação lateral.
A pesquisa vem à tona conforme a empresa de cibersegurança Rapid7 alertou sobre uma campanha em andamento desde o início de março de 2024 que emprega anúncios maliciosos em motores de busca comumente utilizados para distribuir instaladores trojanizados para WinSCP e PuTTY por meio de domínios de typo squatting e, ultimamente, instalar ransomware.
Esses instaladores falsificados atuam como um canal para a soltar o kit de pós-exploração Sliver, que é então usado para entregar mais payloads, incluindo um Beacon do Cobalt Strike que é utilizado para implantação de ransomware.
A atividade compartilha sobreposições táticas com ataques anteriores de ransomware BlackCat que utilizaram malvertising como vetor de acesso inicial como parte de uma campanha recorrente que distribui o malware Nitrogen.
“A campanha afeta de forma desproporcional os membros das equipes de TI, que são mais propensos a baixar os arquivos trojanizados enquanto procuram versões legítimas”, disse o pesquisador de segurança Tyler McGraw.
A divulgação também segue a emergência de novas famílias de ransomware como Beast, MorLock, Synapse e Trinity, com o grupo MorLock indo extensivamente atrás de empresas russas e criptografando arquivos sem exfiltrá-los primeiro.
“Para a restauração do acesso aos dados, os atacantes [MorLock] exigem um resgate considerável, cujo valor pode chegar a dezenas e centenas de milhões de rublos”, disse a filial russa da Group-IB, F.A.C.C.T.
De acordo com dados compartilhados pela NCC Group, os ataques globais de ransomware em abril de 2024 registraram uma queda de 15% em relação ao mês anterior, passando de 421 para 356.
Curiosamente, abril de 2024 também marca o fim do reinado de oito meses do LockBit como o grupo de ameaça com mais vítimas, destacando suas lutas para se manter relevante à luz de uma ampla operação policial no início deste ano.
“Numa reviravolta surpreendente, entretanto, o LockBit 3.0 não foi o grupo de ameaça mais proeminente do mês e teve menos da metade dos ataques observados em março”, disse a empresa. “Em vez disso, o Play foi o grupo de ameaça mais ativo, seguido logo após pelo Hunters.”
A turbulência na cena de ransomware tem sido complementada por criminosos cibernéticos anunciando serviços ocultos de VNC virtual (hVNC) e acesso remoto como Pandora e TMChecker que poderiam ser utilizados para exfiltração de dados, implantação de malware adicional e facilitação de ataques de ransomware.
“Múltiplos brokers de acesso inicial (IABs) e operadores de ransomware usam o TMChecker para verificar dados comprometidos disponíveis quanto à presença de credenciais válidas para VPNs corporativas e contas de e-mail”, disse a Resecurity.
“A ascensão simultânea do TMChecker é significativa, pois reduz substancialmente as barreiras de custo para atores de ameaças que procuram obter acesso corporativo de alto impacto, seja para exploração primária ou para venda a outros adversários no mercado secundário.”
