A invasão ao sistema do Superior Tribunal de Justiça (STJ), ocorrida no início de novembro do ano passado, que comprometeu a integridade dos arquivos da corte, ao que tudo indica visava servidores ou máquinas de backup. Pesquisadores de segurança cibernética apontam que o foco a esses equipamentos é a nova tendência entre as gangues de ransomware. O motivo, segundo eles, é porque, uma vez comprometidos, as vítimas não têm outra opção a não ser pagar o resgate.
Em janeiro deste ano, um usuário da Reddit, rede social de conteúdos com curadoria dos próprios usuários, encontrou evidências de que o ataque ao SJT pelo ransomware RansomEXX criptografaou quase mil máquinas virtuais. A sofisticação do ataque, segundo o usuário, foi tal que os invasores foram até mesmo atrás de backups de disco. Embora os hackers não tenham sido bem-sucedidos porque os backups em fita permaneceram intocados, o caso revela que essa modalidade de ataque veio para ficar.
Uma prova disso é que os operadores de ransomware agora estão explorando duas vulnerabilidades conhecidas anteriormente no hypervisor VMWare ESXi, antes conhecido como ESX, registradas como CVE-2019-5544 e CVE-2020-3992 para atingir os discos rígidos virtuais de suas vítimas. O ESXi é uma solução que permite que várias máquinas virtuais compartilhem o mesmo armazenamento no disco rígido.
Em outubro do ano passado, outro usuário do Reddit relatou um ataque de ransomware que criptografou quase 200 máquinas virtuais no âmbito do armazenamento de dados em que uma nota de resgate foi encontrada na raiz dos armazenamentos. Segundo o site CISO Mag, o usuário afirmou que, como o gerenciamento do VMWare ESXi não foi segregado das máquinas virtuais, os invasores as criptografaram com sucesso.
Veja isso
STJ foi pego pelo RansomEXX. Alvo pode ter sido escolhido
Análise do RansomEXX indica que atacante do STJ teve tempo
Ao analisar esses ataques, os pesquisadores observaram que, em ambas as instâncias, os invasores usaram as vulnerabilidades CVE-2019-5544 e CVE-2020-3992 no VMware ESXi. Os invasores enviaram e-mails de phishing para os funcionários da organização, dos quais três foram vítimas, sem saber, ao clicar e instalar um cavalo de Tróia.
Os invasores então obtiveram privilégios usando a CVE-2020-1472. As estações de trabalho contavam com proteção antivírus, que na época não tinham assinatura desse trojan (ele foi lançado alguns dias depois). Assim, conseguiram acesso a hosts que tinham acesso à sub-rede de gerenciamento do ESXi, pois eles já tinham privilégios de administrador do Active Directory. Sem comprometer o vCenter, eles foram capazes de executar código arbitrário nos hosts ESXi usando CVE-2019-5544 ou CVE-2020-3992. Isso levou à criação de um arquivo executável (escrito em linguagem Python) em hosts ESXi, que criptografou todas as máquinas virtuais.
