Você está visualizando atualmente Ransomware Ataques Exploram Vulnerabilidades VMware ESXi em Padrão Alarmante

Ransomware Ataques Exploram Vulnerabilidades VMware ESXi em Padrão Alarmante

Ataques de ransomware direcionados à infraestrutura VMware ESXi seguem um padrão estabelecido, independentemente do malware de criptografia de arquivos implantado, mostram novas descobertas.

“As plataformas de virtualização são um componente central da infraestrutura de TI organizacional, no entanto, muitas vezes sofrem de configurações incorretas e vulnerabilidades inerentes, o que as torna um alvo lucrativo e altamente eficaz para os atores ameaças abusarem”, disse a empresa de cibersegurança Sygnia em um relatório compartilhado com o The Hacker News.

A empresa israelense, por meio de seus esforços de resposta a incidentes envolvendo várias famílias de ransomware como LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat e Cheerscrypt, descobriu que os ataques em ambientes de virtualização seguem uma sequência de ações similar.

Isso inclui as seguintes etapas:

– Obter acesso inicial por meio de ataques de phishing, downloads maliciosos de arquivos e exploração de vulnerabilidades conhecidas em ativos expostos à internet
– Escalar seus privilégios para obter credenciais para hosts ESXi ou vCenter usando ataques de força bruta ou outros métodos
– Validar seu acesso à infraestrutura de virtualização e implantar o ransomware
– Excluir ou criptografar sistemas de backup, ou em alguns casos, alterar as senhas, para complicar os esforços de recuperação
– Exfiltrar dados para locais externos como Mega.io, Dropbox, ou seus próprios serviços de hospedagem
– Propagar o ransomware para servidores não virtualizados e estações de trabalho para ampliar o alcance do ataque

Para mitigar os riscos apresentados por essas ameaças, é recomendado que as organizações garantam que monitoramento e registro adequados estejam em vigor, criem mecanismos de backup robustos, apliquem medidas de autenticação forte, protejam o ambiente e implementem restrições de rede para prevenir movimentações laterais.

A turbulência no cenário de ransomware tem sido complementada por criminosos cibernéticos que anunciam serviços de Acesso Remoto Oculto de Rede Virtual (hVNC) e acesso remoto como Pandora e TMChecker que podem ser utilizados para exfiltração de dados, implantação de malware adicional e facilitação de ataques de ransomware.

“A ascensão simultânea do TMChecker é significativa porque reduz substancialmente as barreiras de custo de entrada para os atores ameaças que procuram obter acesso corporativo de alto impacto, seja para exploração primária ou para venda a outros adversários no mercado secundário”, disse a Resecurity.