Agir rapidamente e causar o máximo de dano possível em questão de horas é o método de uma série de novos ataques de sequestro digital, que atingem máquinas virtuais que usam o sistema VMware ESXi. Ao contrário de golpes tradicionais, em que os atacantes podem passar dias ou até meses analisando redes e coletando arquivos antes de disseminarem uma praga, estes acontecem de forma rápida a partir do comprometimento inicial, se aproveitando, principalmente, de erros na configuração de servidores.
Desenvolvidas em Python, as pragas são capazes de travar discos virtuais e assumir o controle dos dados de forma veloz — em um dos casos analisados, foram apenas três horas entre a entrada dos bandidos na rede e a exibição da mensagem exigindo resgate pelo sequestro dos dados. Para piorar as coisas, os vetores que levaram a esse ataque foram descobertos em apenas 10 minutos, depois que uma conta desprotegida do sistema de acesso remoto TeamViewer, rodando em uma máquina com privilégios de administração, foi usada para dar acesso à rede.
Usando um escaneador de IPs, os criminosos localizaram o servidor ESXi mal configurado, com serviços SSH habilitados por padrão, que foi usado para disseminar um ataque de ransomware. Os especialistas da Sophos, responsáveis pelo alerta, indicam este como um dos ataques de sequestro digital mais velozes que já analisaram e apontam, também, que a linguagem Python não costuma ser utilizada em golpes desse tipo, o que torna seu monitoramento e mitigação mais difíceis.
Por outro lado, a análise dos pesquisadores em segurança aponta para métodos comuns dos cibercriminosos. Enquanto a velocidade chamou a atenção, a intrusão ocorreu durante a madrugada, um período de menor atividade dos funcionários da empresa atingida, enquanto a exploração acontece a partir de vetores comuns, como é caso dos sistemas de gerenciamento dos servidores que costumam ser habilitados e desativados de acordo com a necessidade — neste caso, um erro de configuração fez com que a porta permanecesse aberta.
A agilidade do ataque também aparece no tamanho do script utilizado, com apenas 6 kb. A ação pretendia ser furtiva, já que os criminosos tentaram apagar o arquivo após a detonação do ataque, com a amostra em Python sendo obtida após análise forense. O estudo mostrou se tratar de uma praga altamente customizável, que pode ser configurada com múltiplas chaves de criptografia, além de mirar em arquivos ou dados específicos para travamento, a partir de ferramentas de criptografia de código aberto. Chamou a atenção, ainda, a geração de códigos de desbloqueio exclusivos para cada ataque, de forma que uma possível “chave-mestra” não sirva para liberar todas as vítimas.
Apesar de um golpe desse tipo ser uma novidade, a Sophos alerta para o fato de servidores ESXi serem bastante visados, principalmente quando desatualizados ou com configurações padronizadas de segurança. Grupos criminosos como REvil e Darkside já fizeram alvos a partir de infraestruturas desse tipo, com a recomendação aos administradores sendo o cumprimento de melhores práticas de segurança indicadas pela própria VMware, assim como a aplicação de patches de correção e demais rotinas que protejam as plataformas.
A empresa atingida pelo ataque analisado, porém, não foi revelada, assim como os eventuais autores da intrusão. Outros detalhes do caso, como resgate cobrado e eventuais pagamentos, também não foram mencionados.
Fonte: Sophos e Canal Tech
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
