Ataques de ransomware direcionados à infraestrutura VMware ESXi seguem um padrão estabelecido, independentemente do malware de criptografia de arquivos implantado, mostram novas descobertas.

“As plataformas de virtualização são um componente central da infraestrutura de TI das organizações, no entanto, muitas vezes sofrem de configurações incorretas e vulnerabilidades inerentes, tornando-se um alvo lucrativo e altamente eficaz para os atores de ameaças explorarem”, afirmou a empresa de cibersegurança Sygnia em um relatório compartilhado com The Hacker News.

A empresa israelense, por meio de seus esforços de resposta a incidentes envolvendo várias famílias de ransomware como LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat e Cheerscrypt, descobriu que os ataques a ambientes de virtualização seguem uma sequência similar de ações.

Isso inclui as seguintes etapas:
– Obter acesso inicial por meio de ataques de phishing, downloads de arquivos maliciosos e exploração de vulnerabilidades conhecidas em ativos expostos à Internet
– Escalar seus privilégios para obter credenciais para os hosts ESXi ou vCenter usando ataques de força bruta ou outros métodos
– Validar seu acesso à infraestrutura de virtualização e implantar o ransomware
– Excluir ou criptografar sistemas de backup, ou em alguns casos, alterar as senhas, para complicar os esforços de recuperação
– Exfiltrar dados para locais externos como Mega.io, Dropbox ou seus próprios serviços de hospedagem
– Propagar o ransomware para servidores não virtualizados e estações de trabalho para ampliar o escopo do ataque

Para mitigar os riscos apresentados por essas ameaças, é recomendado que as organizações garantam que monitoramento e logging adequados estejam em vigor, criem mecanismos de backup robustos, apliquem medidas sólidas de autenticação e endurecimento do ambiente, e implementem restrições de rede para evitar movimentação lateral.