Os ataques de ransomware direcionados à infraestrutura VMware ESXi seguem um padrão estabelecido, independentemente do malware de criptografia de arquivos implantado, mostram novas descobertas.

“As plataformas de virtualização são um componente central da infraestrutura de TI organizacional, no entanto, muitas vezes sofrem de configurações incorretas e vulnerabilidades inerentes, tornando-as um alvo lucrativo e altamente eficaz para os atores de ameaças abusarem”, disse a empresa de cibersegurança Sygnia em um relatório compartilhado com o The Hacker News.

A empresa israelense, por meio de seus esforços de resposta a incidentes envolvendo várias famílias de ransomware como LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat e Cheerscrypt, descobriu que os ataques em ambientes de virtualização seguem uma sequência de ações semelhantes.

Isso inclui as seguintes etapas:

– Obtenção de acesso inicial por meio de ataques de phishing, downloads maliciosos de arquivos e exploração de vulnerabilidades conhecidas em ativos expostos à Internet
– Escalação de privilégios para obter credenciais para hosts ESXi ou vCenter usando ataques de força bruta ou outros métodos
– Validação de seu acesso à infraestrutura de virtualização e implantação do ransomware
– Exclusão ou criptografia de sistemas de backup, ou, em alguns casos, alteração das senhas, para complicar os esforços de recuperação
– Exfiltração de dados para locais externos como Mega.io, Dropbox ou seus próprios serviços de hospedagem
– Propagação do ransomware para servidores não virtualizados e estações de trabalho para aumentar o alcance do ataque

Para mitigar os riscos apresentados por essas ameaças, recomenda-se que as organizações garantam que haja monitoramento e registro adequados, criem mecanismos de backup robustos, apliquem medidas de autenticação forte, fortaleçam o ambiente e implementem restrições de rede para evitar movimentos laterais.