Global Ransomware Hacker Attack: as consequências na Itália
O serviço de vigilância da Agência Nacional de Cibersegurança da Itália também reiterou isso recentemente. De fato, o CSIRT alertou sobre as possíveis consequências de um ataque de Hacker Ransomware. A notícia veio de administradores, provedores de hospedagem e da equipe francesa de resposta a emergências de computadores (CERT-FR). Todos alertam que os invasores estão mirando ativamente em servidores VMware ESXi não corrigidos. No entanto, a vulnerabilidade é uma execução remota de código de dois anos para distribuir um novo ransomware ESXiArgs.
Ataque de hacker de ransomware
Conforme consta no boletim divulgado pelo CSIRT: o impacto estimado da vulnerabilidade na comunidade de referência é alto/laranja. O corpo descreve ter “ detectado a exploração massiva de rede ativa da vulnerabilidade CVE-2021–21974 – já corrigida em fevereiro de 2021 – presente nos produtos VMware ESXi”.
A falha de segurança é causada por um problema de estouro de heap no serviço OpenSLP, que pode ser explorado por agentes de ameaças não autenticados . Essa vulnerabilidade pode permitir a execução de comandos arbitrários (RCE) em dispositivos de destino, em ataques de baixa complexidade.
O sistema de virtualização VMware está entre os mais utilizados do ponto de vista empresarial e é a base de muitas infraestruturas. Então atingir essa parte de uma organização significa colocar em risco boa parte dos sistemas servidores. Com graves prejuízos também para a administração pública, sistemas bancários e outros serviços conexos como hospitais e autoridades locais de saúde.
O ataque do Hacker Ransomware, portanto, derrubou muitos sites e servidores baseados na tecnologia VMWare ESXi. Esse tipo de ameaça pressupõe que o invasor torna alguns arquivos do sistema inacessíveis por criptografia . E foi exatamente isso que aconteceu com muitas empresas italianas e também no mundo, onde os hackers exigiram um resgate em dinheiro . Embora a falha já tenha sido corrigida com um patch, são os serviços mencionados acima que mais preocupam.
Detalhes e correções do ESXiArgs Ransomware
A ameaça cibernética é denominada ESXiArgs, também devido à extensão dos arquivos criptografados (.args) . O pior de tudo, porém, é que pode ser mais perigoso do que se esperava. Na verdade, além de permitir que usuários externos executem códigos maliciosos e roubem dados, também causa outros danos. Como, por exemplo, o perigo concreto de que o invasor tome posse total do sistema afetado.
Depois que o servidor é invadido, o ransomware armazena vários arquivos na pasta /temp. O executável do programa de criptografia, um shell para execuções preliminares, a chave RSA e a nota de resgate em dois formatos. Tudo naquele diretório dedicado .
Apesar de tudo isso, é possível se defender de tal ataque. De fato, o malware parece criptografar arquivos pequenos e, essencialmente, os especialistas dizem que é possível restaurar arquivos mesmo sem a chave de descriptografia. De qualquer forma, como medida preventiva, sempre recomendamos a atualização com o patch, que já está presente. De fato, para muitos especialistas do setor, a ameaça poderia ter sido evitada e limitada, pois se baseia em uma vulnerabilidade antiga.
O artigo Global Ransomware Hacker Attack: as consequências na Itália foi escrito em: Tech CuE | Engenharia de Close-up .