Ataques de ransomware visando a infraestrutura do VMware ESXi seguem um padrão estabelecido, independentemente do malware de criptografia de arquivos utilizado, mostram novos relatórios.
"Plataformas de virtualização são componentes centrais da infraestrutura de TI das organizações, mas frequentemente sofrem de má configuração inerente e vulnerabilidades, tornando-as alvos lucrativos e altamente eficazes para atores de ameaças abusarem", disse a firma de cibersegurança Sygnia em um relatório.
A empresa israelense, por meio de seus esforços de resposta a incidentes envolvendo diversas famílias de ransomware como LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat e Cheerscrypt, descobriu que ataques a ambientes de virtualização seguem uma sequência similar de ações.
Isso inclui os seguintes passos:
- Obter acesso inicial por meio de ataques de phishing, downloads de arquivos maliciosos e exploração de vulnerabilidades conhecidas em ativos voltados para a internet
- Escalar seus privilégios para obter credenciais para hosts do ESXi ou vCenter usando ataques de brute-force ou outros métodos
- Validar seu acesso à infraestrutura de virtualização e implantar o ransomware
- Deletar ou criptografar sistemas de backup, ou, em alguns casos, mudar as senhas, para complicar os esforços de recuperação
- Exfiltrar dados para locais externos como Mega.io, Dropbox ou seus próprios serviços de hospedagem
- Iniciar a execução do ransomware para criptografar a pasta "/vmfs/volumes" do sistema de arquivos do ESXi
- Propagar o ransomware para servidores e workstations não virtualizados para ampliar o escopo do ataque
Para mitigar os riscos apresentados por tais ameaças, recomenda-se que as organizações garantam monitoramento e registro adequados, criem mecanismos de backup robustos, reforcem medidas de autenticação forte, endureçam o ambiente e implementem restrições de rede para prevenir movimento lateral.
O desenvolvimento ocorre à medida que a empresa de cibersegurança Rapid7 alertou sobre uma campanha em andamento desde o início de março de 2024 que emprega anúncios maliciosos em motores de busca comumente usados para distribuir instaladores trojanizados para WinSCP e PuTTY através de domínios typosquatted e, finalmente, instalar ransomware.
Esses instaladores falsificados agem como um meio para soltar o toolkit de pós-exploração Sliver, que é então usado para entregar mais payloads, incluindo um Cobalt Strike Beacon que é utilizado para o deploy de ransomware.
A atividade compartilha sobreposições táticas com ataques de ransomware BlackCat anteriores que usaram malvertising como um vetor de acesso inicial como parte de uma campanha recorrente que entrega o malware Nitrogen.
“A campanha afeta desproporcionalmente os membros de equipes de TI, que têm mais probabilidade de baixar os arquivos trojanizados enquanto procuram por versões legítimas", disse o pesquisador de segurança Tyler McGraw.
A execução bem-sucedida do malware, então, fornece ao ator de ameaça um ponto de apoio elevado e impede a análise, misturando as intenções de ações administrativas subsequentes.
A revelação também segue a emergência de novas famílias de ransomware como Beast, MorLock, Synapse e Trinity, com o grupo MorLock indo extensivamente atrás de empresas russas e criptografando arquivos sem antes exfiltrá-los.
“Para a restauração do acesso aos dados, os atacantes [MorLock] demandam um resgate considerável, cujo tamanho pode ser de dezenas e centenas de milhões de rublos," disse a sucursal russa do Group-IB, F.A.C.C.T.
De acordo com dados compartilhados pelo NCC Group, ataques globais de ransomware em abril de 2024 registraram um declínio de 15% em relação ao mês anterior, caindo de 421 para 356.
Notavelmente, abril de 2024 também marca o fim do domínio de oito meses do LockBit como o ator de ameaça com mais vítimas, destacando suas dificuldades em se manter à tona após uma grande repressão das forças da lei no início deste ano.
"Em uma virada surpreendente dos eventos, porém, LockBit 3.0 não foi o grupo de ameaça mais proeminente do mês e teve menos da metade dos ataques observados que eles fizeram em março," disse a empresa.
Em vez disso, Play foi o grupo de ameaça mais ativo, seguido de perto por Hunters.
A turbulência no cenário de ransomware foi complementada por criminosos cibernéticos anunciando Virtual Network Computing (hVNC) e serviços de acesso remoto como Pandora e TMChecker que poderiam ser utilizados para exfiltração de dados, deploy de malware adicional e facilitação de ataques de ransomware.
"Vários initial access brokers (IABs) e operadores de ransomware usam [TMChecker] para verificar dados comprometidos disponíveis para a presença de credenciais válidas para VPN corporativa e contas de email," disse a Resecurity.
Assim, a ascensão concomitante do TMChecker é significativa porque reduz substancialmente as barreiras de custo para a entrada de atores de ameaças procurando obter acesso corporativo de alto impacto seja para exploração primária ou para venda a outros adversários no mercado secundário.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...