VMware-host-system-1.jpg

Ransomware criptografa VMware ESXi com script Python

Gangue de ransomware desconhecida está usando um script da linguagem de programação para criptografar as máquinas virtuais
Da Redação
05/10/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Operadores de uma gangue de ransomware desconhecida estão usando um script Python para criptografar máquinas virtuais hospedadas em servidores VMware ESXi. Embora a linguagem de programação Python não seja comumente usada no desenvolvimento de ransomware, ela é uma escolha lógica para sistemas ESXi, visto que tais servidores baseados em Linux vêm com a linguagem instalada por padrão.

Pesquisadores de segurança da Sophos descobriram recentemente, enquanto investigavam um incidente de ransomware, que um script de ransomware Python foi usado para criptografar as máquinas virtuais de uma vítima em execução em um hipervisor ESXi vulnerável, três horas após a violação inicial.

“Uma investigação recentemente concluída sobre um ataque de ransomware revelou que os invasores executaram um script Python personalizado no hipervisor da máquina virtual da vítima para criptografar todos os discos virtuais, deixando as máquinas virtuais da organização offline”, disse o pesquisador principal da SophosLabs, Andrew Brandt, ao Bleeping Computer.

Segundo ele, esse foi um dos ataques mais rápidos que a Sophos investigou. “Desde o momento do comprometimento inicial até a implantação do script de ransomware, os invasores passaram apenas pouco mais de três horas na rede do alvo antes de criptografar os discos virtuais em um servidor VMware ESXi”, diz Brandt.

Os cibercriminosos violaram a rede da vítima no fim de semana, fazendo login em uma conta TeamViewer, em execução em um dispositivo com um administrador de domínio conectado. Uma vez lá, eles começaram a pesquisar a rede por alvos adicionais usando o Advanced IP Scanner e se conectaram a um servidor ESXi por meio do serviço SSH ESXi Shell integrado, que foi acidentalmente ativado pela equipe de TI, embora esteja desativado por padrão.

Os operadores do ransomware então executaram um script Python de 6 KB para criptografar o disco virtual de todas as máquinas virtuais e os arquivos de configurações de máquina virtual.

O script, parcialmente recuperado durante a investigação do incidente, permite que os operadores de ransomware usem várias chaves de criptografia e endereços de e-mail e personalizem o sufixo do arquivo para os arquivos criptografados. Ele funciona desligando as máquinas virtuais, sobrescrevendo os arquivos originais armazenados nos volumes do armazenamento de dados e, em seguida, excluindo-os para bloquear as tentativas de recuperação e deixando os arquivos criptografados para trás.

Veja isso
Versão Linux do BlackMatter visa servidores VMware ESXi
Zerodium oferece US$ 100 mil para zero day de VCenter Server

“Os administradores que operam com o ESXi ou outros hipervisores em suas redes devem seguir as melhores práticas de segurança, evitando a reutilização de senhas e usando senhas complexas e difíceis de força bruta de comprimento adequado”, recomendou Brandt. “Sempre que possível, habilite o uso de autenticação multifator e imponha o uso de MFA para contas com permissões altas, como administradores de domínio.”

A VMware também fornece conselhos sobre como proteger os servidores ESXi, limitando o risco de acesso não autorizado e a superfície de ataque no próprio hipervisor.

O ataque a servidores ESXi é uma tática altamente prejudicial, já que a maioria deles executa várias máquinas virtuais simultaneamente, com serviços e aplicativos essenciais para os negócios implantados em muitos deles.

Várias gangues de ransomware, incluindo Darkside, RansomExx e Babuk Locker, exploraram bugs de execução remota de código (RCE) de pré-autenticação do VMWare ESXi para criptografar discos rígidos virtuais usados ​​como espaço de armazenamento corporativo centralizado.

Este não é o primeiro incidente em que ferramentas maliciosas baseadas em Python foram usadas para atacar servidores VMware expostos na internet. Em junho, os pesquisadores detectaram o malware FreakOut multiplataforma baseado em Python, visando dispositivos Windows e Linux atualizados para se infiltrar em servidores VMware vCenter sem correção contra um bug RCE crítico em todas as instalações-padrão.

FreakOut é um script Python oculto, projetado para evitar a detecção com a ajuda de um mecanismo polimórfico e um rootkit, que oculta arquivos maliciosos colocados em sistemas infectados.Versões Linux do HelloKitty e BlackMatter ransomware também foram detectadas em julho e agosto, ambas voltadas para a plataforma de máquina virtual ESXi da VMware. Para piorar ainda mais as coisas, com o VMware ESXi sendo uma das plataformas de máquina virtual corporativa mais, senão a mais popular, quase todas as gangues de ransomware começaram a desenvolver seus criptografadores, projetados especificamente para máquinas virtuais ESXi.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest