Evite ataques com o Ransomware ESXiArgs no VMware

Nos últimos dias, servidores VMware ESXi não corrigidos e desprotegidos em todo o mundo foram alvo de um ataque massivo de ransomware que explora uma vulnerabilidade já corrigida em 2021, mas desta vez com uma nova ameaça, trata-se do Ransomware ESXiArgs no VMware.
Esses ataques, apelidados de ESXiArgs, ainda estão sendo analisados pela comunidade de segurança cibernética.
No entanto, com base nas informações disponíveis até agora, parece que os invasores estão explorando o CVE-2021-21974, uma vulnerabilidade de estouro de heap ESXi OpenSLP de alta gravidade corrigida pelo VMware 2021 fevereiro .
A equipe francesa de resposta a emergências de computadores e a Agência Nacional de Segurança Cibernética (ACN) italiana alertaram oficialmente as organizações globais.
O comunicado alerta contra um ataque de ransomware direcionado a milhares de servidores VMware ESXi que explora uma vulnerabilidade conhecida (CVE-2021).
Os novos ataques do ransomware ESXiArgs agora estão criptografando quantidades mais extensas de dados, tornando muito mais difícil, se não impossível, a recuperação de máquinas virtuais VMware ESXi criptografadas.
Principais tópicos deste artigo
Alerta da VMWARE
A VMware instou os clientes a agirem, pois os servidores ESXi sem patch continuam sendo alvo de ataques de ransomware ESXiArgs. Os hackers estão explorando o CVE-2021-21974, que é uma vulnerabilidade de execução remota de código ESXi de alta gravidade relacionada ao OpenSLP que, conforme mencionado no início deste artigo, foi corrigida pela VMware em fevereiro de 2021. Após uma exploração bem-sucedida, agentes de ameaças não identificados implantaram ransomware de criptografia de arquivos visando máquinas virtuais. Sabe-se que, os detalhes técnicos e as explorações de prova de conceito (PoC) para CVE-2021-21974 existem há quase dois anos, mas não há indicação de que as explorações na natureza tenham persistido até agor
Quando começaram os novos ataques
O ataque do ransomware ESXiArgs parece ter começado por volta de 3 de fevereiro. Em 7 de fevereiro, o Censys mostrou que quase 2.500 servidores foram comprometidos e o Shodan mostrou mais de 1.600. A maioria dos sistemas hackeados estava localizada na França, seguida pelos Estados Unidos.
Quem é afetado pela vulnerabilidade
Qualquer pessoa executando uma máquina ESXi sem patch (CVE-2021-21974) exposta à Internet via porta 427 e 443 é afetada por esse ataque cibernético. CVE-2021-21974 afeta os seguintes sistemas: ESXi versão 7.x antes de ESXi70U1c-17325551 , ESXi versão 6.7.x antes de ESXi670-202102401-SG e ESXi versão 6.5.x antes de ESXi650-202102101-SG Ao realizar consultas específicas, os pesquisadores conseguiram ver mais de 1.900 dispositivos ESXi infectados. As vítimas também encontraram notas de resgate chamadas “ransom.html” e “How to Restore Your Files.html” em sistemas bloqueados. Outros disseram que suas notas são arquivos de texto simples. .

Conheça a melhor solução de proteção de e-mail
Como escapar do Ransomware ESXiArgs no VMware
Nosso Blue team preparou dicas para que as empresas possam evitar este tipo de ataque.
1. Prevenção
Rrestrinja o acesso para redes privadas da empresa de forma que usuários da internet não tenha acesso a essas portas. Verifique a real necessidade de uso do protocolo SLP (Service Location Protocol) no VMWare ESXi, que é o protocolo padrão que fornece estrutura para permitir que aplicativos de rede descubram a existência, localização e configuração de serviços de rede em redes.
Caso você não tenha a necessidade de uso deste protocolo, orienta-se desabilitá-lo se não for efetivamente usado, uma vez que o SLP tem sido identificado como vetor inicial de ataques de Ransomware, que utiliza a porta 427.
Outra forma de prevenção é o bloqueio da porta conforme sugerido abaixo. Faça o bloqueio do acesso às portas 427 e 443 imediatamente como uma medida preventiva. Caso você necessite da utilização do protocolo SLP, recomenda-se liberar as mesmas somente para os IP’s da sua estrutura. Restrinja o acesso para redes privadas da empresa de forma que usuários da internet não tenha acesso a essas portas.
O ransomware instalado nestes ataques criptografa arquivos de máquinas virtuais, incluindo aqueles que terminam em .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram e .vmem. O malware então tenta desbloquear os arquivos encerrando um processo conhecido como VMX. A função não está funcionando como seus desenvolvedores pretendiam, fazendo com que os arquivos permaneçam bloqueados.
Os pesquisadores apelidaram a campanha e o ransomware por trás dela de ESXiArgs, porque o malware cria um arquivo adicional com a extensão “.args” após criptografar um documento. O arquivo .args armazena dados usados para descriptografar dados criptografados.
2. Atualize
Aplique as atualizações de segurança disponibilizadas de acordo com a versão do VMWare ESXi utilizada em seus servidores. Recomendamos que siga as instruções de atualização publicadas pelo fabricante nos seguintes URLs:
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
https://www.vmware.com/security/advisories/VMSA-2020-0023.html
https://www.vmware.com/security/advisories/VMSA-2019-0022.html
Principais vulnerabilidades exploradas pelo Ransomware ESXiArgs no VMware
Nosso time criou aqui, uma lista com as principais vulnerabilidades exploradas nos últimos anos em serviços da VMWare.
Portanto, verifique se sua estrutura está protegida e atualizada referente a todas elas.
- CVE-2021-31166 – HTTP Stack RCE
- CVE-2021-21551 -Dell BIOS Driver PE
- CVE-2021-30747 -Covert channel in Apple M1
- CVE-2021-22204 -DjVu vuln
- CVE-2021-28482 -MS Exchange RCE
- CVE-2021-21974 -VMware ESXi heap-overflow
- CVE-2021-29447 -WordPress XXE
- CVE-2021-21985 – vSphere Client RCE
- CVE-2021-32471 -ACE in TuringMachine
- CVE-2021-3490 -Linux Kernel eBPF
- CVE-2021-30747
Conslusão
O Ransomware ESXIArgs têm causado grande estrago na indústria, no entanto, ele explora uma vulnerabilidade já corrigida pela fabricante.
Siga as dicas deste artigo e procure verificar, portanto, se sua estrutura está atualizada com todos os patches disponibilizados pelo fabricante.
Esta dica de atualização serve também para outros sistemas que você e sua organização utilizam. Verifique, portanto as atualizações de segurança sempre e de forma regular para manter sua infraestrutura sempre segura.
Veja como a HSC Labs melhorou a segurança de e-mail do MP-Bahia

Treine a sua equipe em cibersegurança