A Check Point Research (CPR) analisa o ataque cibernético às infraestruturas com servidores VMware ocorrido no último final de semana (dias 4 e 5 de fevereiro), destacando ser esse bastante diferente dos ataques que normalmente se têm notícias com danos e violações de dados direcionados a organizações privadas. Esse ataque de ransomware tem um impacto potencial que pode se espalhar para todos os cidadãos, produzindo interrupções nacionais ou mesmo globais.
O Time Francês de Resposta a Emergências de Computadores e a Autoridade Nacional de Segurança Cibernética (ACN) da Itália alertaram oficialmente as organizações em todo o mundo contra um ataque de ransomware direcionado a milhares de servidores VMware ESXi, explorando uma vulnerabilidade conhecida que foi corrigida em fevereiro de 2021 (CVE-2021-21974). Como esses servidores fornecem serviços para milhares de outros servidores, que eles armazenam, o impacto parece ser generalizado e global, afetando organizações na França, Finlândia, Itália, Canadá e Estados Unidos.
A VMware descreveu a deficiência como uma vulnerabilidade de estouro de heap do OpenSLP que pode levar à execução de código arbitrário.
Quem é afetado?
Todos que estão executando máquinas ESXi sem o patch (CVE-2021-21974), expostos à Internet com a porta 427 são afetados por esse ciberataque.
O CVE-2021-21974 afeta os seguintes sistemas:
- ESXi versões 7.x anteriores a ESXi70U1c-17325551
- ESXi versões 6.7.x anteriores a ESXi670-202102401-SG
- ESXi versões 6.5.x anteriores a ESXi650-202102101-SG
Ao realizar uma consulta específica do Censys, os pesquisadores da Check Point Research puderam ver que já existem mais de 1.900 dispositivos ESXi infectados, enquanto a maioria das vítimas são dos provedores de serviços OVH e Hetzner:
A OVH oferece máquinas bare metal com a opção de instalar o ESXi nelas. Em muitos casos, os clientes os expõem à Internet e nunca corrigem. No último dia 03 de fevereiro, a OVH divulgou um blog informando que fechou a porta 427 para seus clientes, a fim de mitigar a ameaça.
O que se sabe até agora?
Os pesquisadores da Check Point Software apontam que se trata do maior ataque de ransomware fora do Windows já registrado e em ambiente Linux.
"Esse ataque massivo aos servidores ESXi é considerado um dos mais extensos ciberataques de ransomware já relatados em máquinas não Windows. O que torna a situação ainda mais preocupante é o fato de que, até recentemente, os ataques de ransomware eram mais focados em máquinas baseadas no Windows. Os atacantes que aplicam o ransomware perceberam como os servidores Linux são cruciais para os sistemas de instituições e organizações. Isso certamente os levou a investir no desenvolvimento de uma arma cibernética tão poderosa e a tornar o ransomware tão sofisticado", comenta Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil.
De acordo com a análise atual da equipe da Check Point Research, o risco desse ataque de ransomware não se limita apenas aos provedores de serviços direcionados específicos. Os cibercriminosos exploraram o CVE-2021-21974, falha já denunciada em fevereiro de 2021. Mas, o que pode tornar o impacto ainda mais devastador é o uso desses servidores, nos quais normalmente rodam outros servidores virtuais. Assim, o dano é provavelmente generalizado, mais do que inicialmente relatado.
A evolução do ransomware
No início, os ataques de ransomware eram conduzidos por entidades únicas que desenvolviam e distribuíam um grande número de cargas automatizadas para vítimas selecionadas aleatoriamente, coletando pequenas quantias de cada ataque "bem-sucedido". Ao avançarmos para 2023, esses ataques evoluíram para se tornarem processos principalmente operados por humanos, executados por várias entidades ao longo de várias semanas. Os atacantes selecionam cuidadosamente suas vítimas de acordo com o perfil desejado e implementam uma série de medidas de pressão para extorquir quantias significativas de dinheiro. Ameaças de expor dados confidenciais provaram ser muito eficazes.
Impacto dos ataques de ransomware nas empresas (2022)
A rede ThreatCloud da Check Point Software fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e smartphones. A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da Check Point Research, a divisão de Inteligência em ameaças da empresa.
De acordo com seus dados, globalmente, pelo menos uma em cada 13 organizações sofreu uma tentativa de ataque de ransomware em 2022.
- Na região APAC – uma em 11 organizações
- Na região EMEA — uma em 12 organizações
- Nas Américas — uma em 19 organizações
A análise das indicações iniciais de ameaças, conforme vistas pelo CPIRT (Incident Response Services) em 2022, indica que quase 50% das investigações envolvem infecções por ransomware. Os dados do CPIRT mostram que os maiores riscos visíveis de uma grande perspectiva corporativa são ataques completos de ransomware e comprometimento total da rede.
A VMware publicou soluções alternativas para ajudar os proprietários de servidores a reduzir o risco de exploração do CVE. A OVHcloud forneceu recomendações, incluindo medidas de emergência, aos clientes da OVHcloud que usam ESXi. Os conselhos e as recomendações completos da VMware em resposta ao CVE podem ser encontrados em seu site.
Como prevenir o próximo ataque de ransomware
- Patches atualizados: manter computadores e servidores atualizados e aplicar patches de segurança, especialmente aqueles rotulados como críticos, pode ajudar a limitar a vulnerabilidade de uma organização a ataques de ransomware.
- Manter o software atualizado. Às vezes, os atacantes de ransomware encontram um ponto de entrada em seus aplicativos e software, observando vulnerabilidades e capitalizando-as. Felizmente, alguns desenvolvedores estão procurando ativamente por novas vulnerabilidades e corrigindo-as. Se o usuário corporativos deseja usar esses patches, precisa ter uma estratégia de gerenciamento de patches e garantir que todos os membros de sua equipe estejam constantemente atualizados com as versões mais recentes.
- Os sistemas de prevenção contra intrusões (IPS – Intrusion Prevention Systems) detectam ou impedem tentativas de explorar pontos fracos em sistemas ou aplicativos vulneráveis, protegendo os usuários na corrida para explorar a última ameaça. As proteções Check Point IPS em seu firewall de próxima geração são atualizadas automaticamente. Se a vulnerabilidade foi lançada anos atrás ou há alguns minutos, a organização está protegida.
- Preferir a prevenção ao invés da detecção: Muitos afirmam que os ataques vão acontecer, e não há como evitá-los, então só resta investir em tecnologias que detectem o ataque uma vez que ele já tenha rompido a rede e mitigue o dano o mais rápido possível. Isso não é verdade. Os ataques não apenas podem ser bloqueados, mas também evitados, incluindo ataques de dia zero e malware desconhecido. Com as tecnologias certas instaladas, a maioria dos ataques, mesmo os mais avançados, pode ser evitada sem interromper o fluxo normal de negócios.
- Backup de dados robusto: o objetivo do ransomware é forçar a vítima a pagar um resgate para recuperar o acesso aos seus dados criptografados. No entanto, isso só é eficaz se o alvo perder o acesso aos seus dados. Uma solução robusta e segura de backup de dados é uma maneira eficaz de mitigar o impacto de um ataque de ransomware. Se o backup dos sistemas for feito regularmente, os dados perdidos para um ataque de ransomware devem ser mínimos ou inexistentes. No entanto, é importante garantir que a solução de backup de dados também não possa ser criptografada. Os dados devem ser armazenados em um formato de somente leitura para evitar a propagação de ransomware para unidades que contenham dados de recuperação.
- Soluções antiransomware: embora as etapas anteriores de prevenção contra ransomware possam ajudar a mitigar a exposição de uma organização a ameaças de ransomware, elas não fornecem proteção perfeita. Alguns operadores ou grupos de ransomware usam e-mails de spear phishing bem pesquisados e altamente direcionados como seu vetor de ataque. Esses e-mails podem enganar até mesmo o funcionário mais diligente, resultando em ransomware obtendo acesso aos sistemas internos de uma organização. A proteção contra esse ransomware que "escorrega pelas brechas" requer uma solução de segurança especializada. Para atingir seu objetivo, o ransomware deve executar certas ações anômalas, como abrir e criptografar um grande número de arquivos. As soluções antiransomware monitoram programas em execução em um computador em busca de comportamentos suspeitos comumente exibidos por ransomware e, se esses comportamentos forem detectados, o programa pode tomar medidas para interromper a criptografia antes que mais danos possam ser causados.