O que aconteceu?
A equipa francesa de resposta a emergências informáticas e a autoridade nacional italiana de cibersegurança (ACN) alertaram oficialmente as organizações de todo o mundo contra um ataque de ransomware que visava milhares de servidores VMware ESXI, explorando uma vulnerabilidade conhecida que foi corrigida em Fevereiro de 2021 (CVE-2021-21974).
Como estes servidores prestam serviços a milhares de outros servidores, o impacto parece ser global, afetando organizações na França, Finlândia, Itália, Canadá e EUA.
A VMware descreveu a vulnerabilidade como uma heap-overflow OpenSLP que poderia levar à execução de um código arbitrário.
Quem foi afetado?
Todas as pessoas que estão a executar máquinas ESXi (CVE-2021-21974) sem as devidas correções, expostas à Internet com a porta 427.
O CVE-2021-21974 afeta os seguintes sistemas:
- ESXi versões 7.x anteriores ao ESXi70U1c-17325551
- ESXi versões 6.7.x anteriores ao ESXi670-202102401-SG
- ESXi versões 6.5.x anteriores ao ESXi650-202102101-SG
Através de uma query específica da Censys, podemos ver que já existem mais de 1.900 dispositivos ESXi infetados, enquanto a maioria das vítimas são de fornecedores de serviços OVH e Hetzner.
A OVH oferece máquinas de metal uma opção de instalar o ESXi nas mesmas. Em muitos casos, os clientes expõem-nas na Internet e nunca corrigem. No dia 3 de Fevereiro, a OVH publicou no seu blogue onde dá conta do encerramento da porta 427 aos seus clientes, para minimizar a ameaça.
Atualmente o que se sabe?
O maior ataque de ransomware a sistemas non-Windows de que há registo
Este ataque maciço aos servidores ESXi é considerado um dos mais extensos ciberataques de ransomware de máquinas non-windows jamais reportados. O que torna a situação ainda mais preocupante é o facto de, até recentemente, os ataques de "ransomware" estarem mais concentrados em máquinas baseadas em Windows. Os autores das ameaças de ransomware aperceberam-se de quão cruciais são os servidores Linux para os sistemas das instituições e organizações. Isto levou-os certamente a investir no desenvolvimento de uma arma cibernética tão poderosa e a de fazer com que o ransomware se tornasse tão sofisticado.
De acordo com a nossa presente análise, o risco deste ataque de ransomware não é limitado apenas aos prestadores de serviços específicos visados. Os criminosos cibernéticos exploraram o CVE-2021-21974, uma falha já reportada em Fevereiro de 2021. Mas o que pode tornar o impacto ainda mais devastador é a utilização destes servidores, nos quais outros servidores virtuais estão normalmente a funcionar. Assim, os danos são provavelmente generalizados, mais do que o inicialmente relatado.
A evolução do Ransomware
Nos primeiros tempos, os ataques de ransomware eram conduzidos por entidades que desenvolviam e distribuíam grandes quantidades de cargas automatizadas a vítimas selecionadas aleatoriamente, recolhendo pequenas somas de cada ataque "bem sucedido". Avançando rapidamente para 2023, estes ataques evoluíram para se tornarem processos operados maioritariamente por humanos, levados a cabo por múltiplas entidades ao longo de várias semanas. Os atacantes selecionam cuidadosamente as suas vítimas de acordo com um perfil desejado, e implementam uma série de medidas de pressão para extorquir somas significativas de dinheiro. As ameaças de exposição de dados sensíveis provaram ser muito eficazes.
O impacto dos ataques de Ransomware sobre as organizações (2022)
O ThreatCloud da Check Point fornece informações sobre ameaças em tempo real derivadas de centenas de milhões de sensores em todo o mundo, através de redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research - o braço de inteligência e pesquisa da Check Point Software.
De acordo com os dados da Check Point pelo menos 1 em cada 13 organizações sofreu uma tentativa de ataque de Ransomware no ano passado.
- Na região APAC - 1 em 11 organizações
- Na região EMEA - 1 em 12 organizações
- Na região das Américas - 1 em 19 organizações
A análise das primeiras indicações de ameaça, tal como foi observado pelo CPIRT (Serviços de Resposta a Incidentes) em 2022, indica que quase 50% das investigações envolvem infeções de ransomware. Os dados do CPIRT mostram que os maiores riscos que são visíveis da perspetiva de uma grande empresa - são ataques de ransomware e o comprometimento total da rede.
Mitigação
O Check Point Quantum IPS protege da vulnerabilidade da rede que foi explorada neste ataque (CVE-2021-21974).
Para proteção de serviços empresariais na cloud, o CloudGuard for Cloud Network Security fornece prevenção avançada de ameaças e segurança automatizada de redes na cloud através de um gateway de segurança virtual, com gestão de segurança unificada.
A VMware publicou soluções para ajudar os proprietários dos servidores a mitigar o risco de exploração do CVE. A OVHcloud forneceu recomendações incluindo medidas de emergência aos clientes da OVHcloud que utilizam ESXi.
O aconselhamento e recomendações completas da VMware em resposta ao CVE podem ser encontrados em https://www.vmware.com/security/advisories/VMSA-2021-0002.html .
