Novo ransomware como serviço 'MichaelKors' mirando sistemas Linux e VMware ESXi
15 de Maio de 2023

Uma nova operação de ransomware-as-service (RaaS) chamada MichaelKors se tornou o mais recente malware de criptografia de arquivos a mirar em sistemas Linux e VMware ESXi a partir de abril de 2023.

O desenvolvimento aponta para atores cibercriminosos cada vez mais olhando para o ESXi, disse a empresa de cibersegurança CrowdStrike em um relatório compartilhado com o The Hacker News.

"Essa tendência é especialmente notável dado o fato de que o ESXi, por design, não suporta agentes de terceiros ou software antivírus", disse a empresa.

"Na verdade, a VMware vai tão longe a ponto de afirmar que isso não é necessário.

Isso, combinado com a popularidade do ESXi como um sistema de virtualização e gerenciamento amplamente utilizado, torna o hipervisor um alvo altamente atraente para adversários modernos."

O direcionamento de hipervisores VMware ESXi com ransomware para escalar tais campanhas é uma técnica conhecida como jackpotting de hipervisor.

Ao longo dos anos, a abordagem foi adotada por vários grupos de ransomware, incluindo Royal.

Além disso, uma análise da SentinelOne na semana passada revelou que 10 famílias diferentes de ransomware, incluindo Conti e REvil, utilizaram o código-fonte Babuk vazado em setembro de 2021 para desenvolver armários para hipervisores VMware ESXi.

Outros grupos de crimes eletrônicos notáveis que atualizaram seu arsenal para mirar o ESXi consistem em ALPHV (BlackCat), Black Basta, Defray, ESXiArgs, LockBit, Nevada, Play, Rook e Rorschach.

Parte do motivo pelo qual os hipervisores VMware ESXi estão se tornando um alvo atraente é que o software é executado diretamente em um servidor físico, concedendo a um potencial atacante a capacidade de executar binários ELF maliciosos e obter acesso irrestrito aos recursos subjacentes da máquina.

Atacantes que procuram invadir hipervisores ESXi podem fazê-lo usando credenciais comprometidas, seguidas pela obtenção de privilégios elevados e, em seguida, movendo-se lateralmente pela rede ou escapando dos limites do ambiente por meio de falhas conhecidas para avançar em seus objetivos.

A VMware, em um artigo da base de conhecimento atualizado pela última vez em setembro de 2020, observa que "software antivírus não é necessário com o vSphere Hypervisor e o uso de tal software não é suportado".

" Cada vez mais, os atores de ameaças estão reconhecendo que a falta de ferramentas de segurança, falta de segmentação adequada de rede de interfaces ESXi e vulnerabilidades [encontradas na natureza] para ESXi criam um ambiente rico em alvos", disse a CrowdStrike.

Os atores de ransomware não são os únicos a atacar infraestrutura virtual.

Em março de 2023, a Mandiant, de propriedade do Google, atribuiu a um grupo estatal chinês o uso de backdoors novos denominados VIRTUALPITA e VIRTUALPIE em ataques direcionados a servidores VMware ESXi.

Para mitigar o impacto do jackpotting de hipervisor, as organizações são recomendadas a evitar o acesso direto aos hosts ESXi, habilitar a autenticação em duas etapas, realizar backups periódicos dos volumes de datastore do ESXi, aplicar atualizações de segurança e conduzir avaliações de postura de segurança.

"Os adversários provavelmente continuarão a mirar a infraestrutura de virtualização baseada em VMware", disse a CrowdStrike.

"Isso representa uma grande preocupação, já que mais organizações continuam transferindo cargas de trabalho e infraestrutura para ambientes de nuvem - todos por meio de ambientes do hipervisor VMWare."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...