Ataque massivo de Ransomware visa os Servidores VMware ESXi
Os servidores VMware em todo o mundo sofreram um extenso ataque de ransomware, o maior ciberataque de non-windows ransomware de que há registo. A Check Point deixa-lhe tudo o que precisa de saber e fazer
Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, dá conta do maior ciberataque de ransomware realizado a sistemas non-windows da história, deixando os passos necessários para se proteger.
De acordo com a análise da equipa da CPR, o risco deste ataque de ransomware não é limitado apenas aos prestadores de serviços específicos visados. Os criminosos cibernéticos exploraram o CVE-2021-21974, uma falha já reportada em Fevereiro de 2021. Mas o que pode tornar o impacto ainda mais devastador é a utilização destes servidores, nos quais outros servidores virtuais estão normalmente a funcionar. Assim, os danos são provavelmente generalizados, mais do que o inicialmente relatado.
O que aconteceu?
A equipa francesa de resposta a emergências informáticas e a autoridade nacional italiana de cibersegurança (ACN) alertaram oficialmente as organizações de todo o mundo contra um ataque de ransomware que visava milhares de servidores VMware ESXI, explorando uma vulnerabilidade conhecida que foi corrigida em Fevereiro de 2021 (CVE-2021-21974).
Como estes servidores prestam serviços a milhares de outros servidores, o impacto parece ser global, afetando organizações na França, Finlândia, Itália, Canadá e EUA.
A VMware descreveu a vulnerabilidade como uma heap-overflow OpenSLP que poderia levar à execução de um código arbitrário.
Quem foi afetado?
Todas as pessoas que estão a executar máquinas ESXi (CVE-2021-21974) sem as devidas correções, expostas à Internet com a porta 427.
O CVE-2021-21974 afeta os seguintes sistemas:
- ESXi versões 7.x anteriores ao ESXi70U1c-17325551
- ESXi versões 6.7.x anteriores ao ESXi670-202102401-SG
- ESXi versões 6.5.x anteriores ao ESXi650-202102101-SG
Através de uma query específica da Censys, podemos ver que já existem mais de 1.900 dispositivos ESXi infetados, enquanto a maioria das vítimas são de fornecedores de serviços OVH e Hetzner.
A OVH oferece máquinas de metal uma opção de instalar o ESXi nas mesmas. Em muitos casos, os clientes expõem-nas na Internet e nunca corrigem. No dia 3 de Fevereiro, a OVH publicou no seu blogue onde dá conta do encerramento da porta 427 aos seus clientes, para minimizar a ameaça.
Atualmente o que se sabe?
O maior ataque de ransomware a sistemas non-Windows de que há registo
Este ataque maciço aos servidores ESXi é considerado um dos mais extensos ciberataques de ransomware de máquinas non-windows jamais reportados. O que torna a situação ainda mais preocupante é o facto de, até recentemente, os ataques de "ransomware" estarem mais concentrados em máquinas baseadas em Windows. Os autores das ameaças de ransomware aperceberam-se de quão cruciais são os servidores Linux para os sistemas das instituições e organizações. Isto levou-os certamente a investir no desenvolvimento de uma arma cibernética tão poderosa e a de fazer com que o ransomware se tornasse tão sofisticado.
De acordo com a nossa presente análise, o risco deste ataque de ransomware não é limitado apenas aos prestadores de serviços específicos visados. Os criminosos cibernéticos exploraram o CVE-2021-21974, uma falha já reportada em Fevereiro de 2021. Mas o que pode tornar o impacto ainda mais devastador é a utilização destes servidores, nos quais outros servidores virtuais estão normalmente a funcionar. Assim, os danos são provavelmente generalizados, mais do que o inicialmente relatado.
A evolução do Ransomware
Nos primeiros tempos, os ataques de ransomware eram conduzidos por entidades que desenvolviam e distribuíam grandes quantidades de cargas automatizadas a vítimas selecionadas aleatoriamente, recolhendo pequenas somas de cada ataque "bem sucedido". Avançando rapidamente para 2023, estes ataques evoluíram para se tornarem processos operados maioritariamente por humanos, levados a cabo por múltiplas entidades ao longo de várias semanas. Os atacantes selecionam cuidadosamente as suas vítimas de acordo com um perfil desejado, e implementam uma série de medidas de pressão para extorquir somas significativas de dinheiro. As ameaças de exposição de dados sensíveis provaram ser muito eficazes.
O impacto dos ataques de Ransomware sobre as organizações (2022)
O ThreatCloud da Check Point fornece informações sobre ameaças em tempo real derivadas de centenas de milhões de sensores em todo o mundo, através de redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research - o braço de inteligência e pesquisa da Check Point Software.
De acordo com os dados da Check Point pelo menos 1 em cada 13 organizações sofreu uma tentativa de ataque de Ransomware no ano passado.
- Na região APAC - 1 em 11 organizações
- Na região EMEA - 1 em 12 organizações
- Na região das Américas - 1 em 19 organizações
A análise das primeiras indicações de ameaça, tal como foi observado pelo CPIRT (Serviços de Resposta a Incidentes) em 2022, indica que quase 50% das investigações envolvem infeções de ransomware. Os dados do CPIRT mostram que os maiores riscos que são visíveis da perspetiva de uma grande empresa - são ataques de ransomware e o comprometimento total da rede.
Mitigação
O Check Point Quantum IPS protege da vulnerabilidade da rede que foi explorada neste ataque (CVE-2021-21974).
Para proteção de serviços empresariais na cloud, o CloudGuard for Cloud Network Security fornece prevenção avançada de ameaças e segurança automatizada de redes na cloud através de um gateway de segurança virtual, com gestão de segurança unificada.
A VMware publicou soluções para ajudar os proprietários dos servidores a mitigar o risco de exploração do CVE. A OVHcloud forneceu recomendações incluindo medidas de emergência aos clientes da OVHcloud que utilizam ESXi.
O aconselhamento e recomendações completas da VMware em resposta ao CVE podem ser encontrados aqui: https://www.vmware.com/security/advisories/VMSA-2021-0002.html
Como Prevenir o próximo ataque de ransomware
- Correções Atualizadas: Manter computadores e servidores atualizados e aplicar correções de segurança, especialmente aqueles rotulados como críticos, pode ajudar a limitar a vulnerabilidade de uma organização a ataques de ransomware.
- Mantenha o seu software atualizado. Os atacantes de ransomware encontram por vezes um ponto de entrada dentro das suas aplicações e software, registando as vulnerabilidades e capitalizando nelas.
- Implementar Sistemas de Prevenção de Intrusão que detetem ou impeçam tentativas de explorar fraquezas em sistemas ou aplicações vulneráveis, protegendo-o na luta para explorar as últimas ameaças de violação. As proteções IPS Check Point na nossa Next Generation Firewall são actualizadas automaticamente. Quer a vulnerabilidade tenha sido lançada há anos, ou há alguns minutos, a sua organização estará protegida.
- Escolher a prevenção em vez da deteção: Muitos afirmam que os ataques vão acontecer, e não há maneira de os evitar, e, portanto, a única coisa que resta fazer é investir em tecnologias que detetem o ataque uma vez que este já tenha violado a rede e atenuem os danos o mais depressa possível. Isto não é verdade! Os ataques não só podem ser bloqueados, como podem ser evitados, incluindo ataques de zero-day e malware desconhecido.
- Cópia de Segurança de Dados Robusta: O objetivo do ransomware é forçar a vítima a pagar um resgate para recuperar o acesso aos seus dados encriptados. No entanto, isto só é eficaz se o alvo perder o acesso aos seus dados. Uma solução de backup de dados robusta e segura é uma forma eficaz de mitigar o impacto de um ataque de resgate. Se os sistemas tiverem backups regulares, então os dados perdidos devido a um ataque de resgate devem ser mínimos ou inexistentes. No entanto, é importante assegurar que a solução de salvaguarda de dados não possa também ser encriptada. Os dados devem ser armazenados num formato só de leitura para evitar a propagação do programa de resgate a unidades que contenham dados de recuperação.
- Soluções Anti-Ransomware: Embora as medidas de prevenção de ransomware anteriores possam ajudar a mitigar a exposição de uma organização às ameaças de ransomware, não proporcionam uma proteção perfeita. Alguns operadores de ransomware usam e-mails de spear phishing bem estudados e altamente direcionados como o seu vetor de ataque. Estes e-mails podem enganar até mesmo os funcionários mais diligentes, resultando no ataque de ransomware ganhar acesso aos sistemas internos de uma organização. A proteção contra este "scansomware" que "desliza através das brechas" requer uma solução de segurança especializada. Para alcançar o seu objetivo, o ransomware deve realizar certas ações anómalas, tais como abrir e encriptar um grande número de ficheiros. As soluções anti-ransomware monitorizam programas em execução num computador em busca de comportamentos suspeitos habitualmente exibidos pelo ransomware, e se estes comportamentos forem detetados, o programa pode tomar medidas para parar a encriptação antes que mais danos possam ser feitos.
Quando utiliza a Check Point para garantir o seu negócio, obtém uma prevenção precisa contra os ataques mais avançados através do poder da ThreatCloud. A ThreatCloud atualiza as ameaças e proteções recentemente reveladas em tempo real em toda a carteira da Check Point.
Post A Comment:
0 comments: