Ataques de ransomware visando infraestrutura VMware ESXi seguem um padrão estabelecido, independentemente do malware de criptografia de arquivos utilizado, mostram novas descobertas.

“As plataformas de virtualização são um componente central da infraestrutura de TI das organizações, no entanto, frequentemente sofrem de configurações errôneas e vulnerabilidades inerentes, tornando-as um alvo lucrativo e altamente eficaz para os atores de ameaças abusarem”, afirmou a empresa de segurança cibernética Sygnia em um relatório compartilhado com o The Hacker News.

A empresa israelense, por meio de seus esforços de resposta a incidentes envolvendo várias famílias de ransomware como LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat e Cheerscrypt, descobriu que os ataques em ambientes de virtualização seguem uma sequência de ações semelhante.

Isso inclui as seguintes etapas:
– Obtenção de acesso inicial por meio de ataques de phishing, downloads maliciosos de arquivos e exploração de vulnerabilidades conhecidas em ativos voltados para a internet.
– Escalonamento de privilégios para obter credenciais para hosts ESXi ou vCenter usando ataques de força bruta ou outros métodos.
– Validar seu acesso à infraestrutura de virtualização e implantar o ransomware.
– Deletar ou criptografar sistemas de backup, ou, em alguns casos, alterar as senhas, para complicar os esforços de recuperação.
– Exfiltrar dados para locais externos como Mega.io, Dropbox ou seus próprios serviços de hospedagem.
– Propagar o ransomware para servidores e estações de trabalho não virtualizadas para ampliar o escopo do ataque.

Para mitigar os riscos apresentados por essas ameaças, é recomendado que as organizações garantam que monitoramento adequado e registros estejam em vigor, criem mecanismos robustos de backup, imponham medidas de autenticação forte e endureçam o ambiente, implementando restrições de rede para evitar movimentos laterais.

Acompanhando isso, a empresa de segurança cibernética Rapid7 alertou sobre uma campanha em andamento desde o início de março de 2024, que emprega anúncios maliciosos em mecanismos de busca comuns para distribuir instaladores trojanizados para WinSCP e PuTTY por meio de domínios de typo squatted e, por fim, instalar ransomware.

Esses instaladores falsificados funcionam como um canal para baixar o toolkit de pós-exploração Sliver, que é então usado para entregar mais payloads, incluindo um Beacon do Cobalt Strike, utilizado para o deployment de ransomware.

A atividade compartilha sobreposições táticas com os ataques anteriores de ransomware BlackCat, que usaram malvertising como vetor de acesso inicial como parte de uma campanha recorrente que entrega o malware Nitrogênio.

“A campanha afeta desproporcionalmente membros de equipes de TI, que são mais propensos a baixar os arquivos trojanizados enquanto procuram versões legítimas”, disse o pesquisador de segurança Tyler McGraw.

Além disso, segue-se a emergência de novas famílias de ransomware como Beast, MorLock, Synapse e Trinity, com o grupo MorLock indo extensivamente atrás de empresas russas e criptografando arquivos sem exfiltrá-los primeiro.

Para a restauração de acesso aos dados, os atacantes da MorLock exigem um resgate considerável, cujo valor pode chegar a dezenas e centenas de milhões de rublos.

De acordo com dados compartilhados pela NCC Group, os ataques globais de ransomware em abril de 2024 registraram uma queda de 15% em relação ao mês anterior, caindo de 421 para 356.

Notavelmente, abril de 2024 também marca o fim do reinado de oito meses do LockBit como o grupo de ameaças com mais vítimas, destacando suas lutas para se manter à tona após um amplo desmantelamento pelas autoridades ainda este ano.

Em uma reviravolta surpreendente, no entanto, o LockBit 3.0 não foi o grupo de ameaças mais proeminente do mês e teve menos da metade dos ataques observados em março, sendo o grupo Play o mais ativo, seguido de perto pelos Hunters.

A turbulência no cenário de ransomware tem sido complementada por criminosos cibernéticos que anunciam serviços ocultos de Virtual Network Computing (hVNC) e acesso remoto como Pandora e TMChecker, que podem ser utilizados para exfiltração de dados, deploy de malware adicional e facilitar ataques de ransomware.

“Múltiplos intermediários de acesso inicial (IABs) e operadores de ransomware usam [TMChecker] para verificar os dados comprometidos disponíveis em busca de credenciais válidas para VPN corporativa e contas de e-mail”, disse a Resecurity.

“O aumento simultâneo do TMChecker é significante, pois reduz substancialmente as barreiras de custo de entrada para atores de ameaças que procuram obter acesso corporativo de alto impacto, seja para exploração primária ou para venda a outros adversários no mercado secundário.”