github-actions[bot]
commented
1 year ago Boletim de Segurança
:arrow_right: Ataques de ransomware em servidores VMware ESXi continuam aumentando. O VMware ESXi recebe muita atenção dos agentes de ameaças e, recentemente, muitos grupos de ransomware mudaram seu interesse para máquinas virtuais ESXi vulneráveis. Um novo ransomware chamado ESXiArgs e uma variante Linux do Royal Ransomware são as ameaças mais recentes a aderir a essa tendência. Os agentes de ameaças estão visando ativamente uma vulnerabilidade RCE de dois anos(CVE-2021-21974) que afeta servidores ESXi versão 6.xe e anteriores a 6.7, aparentemente por meio da porta OpenSLP (427). Os especialistas descobriram que aproximadamente 3.200 servidores VMware ESXi foram comprometidos em todo o mundo e afetados por esta campanha recente. No ano passado, muitos grupos de ransomware como Black Basta, Hive, RedAlert, e Cheers visaram VMs ESXi. Os especialistas estimam que as gangues de ransomware, incluindo as novas, como ESXiArgs, continuarão a representar ameaças para os ambientes ESXi. Para se manterem protegidas, as organizações são aconselhadas a corrigir adequadamente seus dispositivos e realizar uma verificação completa do sistema para detectar quaisquer sinais de comprometimento.
:arrow_right: CISA lança script de recuperação para vítimas de ransomware. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) lançou um script para recuperar servidores VMware ESXi criptografados pelos recentes ataques generalizados de ransomware ESXiArgs. Para ajudar os usuários a recuperar seus servidores, a CISA lançou um script ESXiArgs-Recover no GitHub para automatizar o processo de recuperação. “A CISA está ciente de que algumas organizações relataram sucesso na recuperação de arquivos sem pagar resgates. A CISA compilou esta ferramenta com base em recursos disponíveis publicamente, incluindo um tutorial de Enes Sonmez e Ahmet Aykac”, explica a CISA. “Essa ferramenta funciona reconstruindo os metadados da máquina virtual a partir de discos virtuais que não foram criptografados pelo malware”. Embora a página do projeto GitHub tenha as etapas necessárias para recuperar VMs, script limpará os arquivos criptografados de uma máquina virtual e tentará reconstruir o arquivo .vmdk da máquina virtual usando o arquivo simples não criptografado. Quando terminar, se for bem-sucedido, você poderá registrar a máquina virtual novamente no VMware ESXi para obter acesso à VM novamente. “Embora a CISA trabalhe para garantir que scripts como este sejam seguros e eficazes, esse script é fornecido sem garantia, implícita ou explícita.” adverte CISA.
:arrow_right: Falha em ransomware permite que vítimas liberem arquivos sem pagar nada. Uma nova variante do ransomware Clop mira diretamente servidores Linux rodando softwares da Oracle, mas também contém falhas que permitem a liberação dos arquivos após ataques, sem a necessidade de pagamento ou negociação com os criminosos. O malware que vem circulando desde dezembro do ano passado ainda parece estar em fase inicial de implementação. A SentinelLabs é a principal responsável por isso, liberando no GitHub um script programado em Python que é capaz de liberar arquivos bloqueados pelo Crop. O segredo está no uso de uma “chave mestra” de criptografia RC4 para realizar o travamento dos dados, que acaba armazenada no próprio sistema travado de forma desprotegida, o que permite que o processo seja revertido pelas próprias vítimas. Isso não significa, claro, que as coisas não possam mudar em breve, já que o malware ainda parece estar em desenvolvimento. A descoberta de uma versão incompleta, porém, auxilia nas tarefas de prevenção e também no lide com agências de segurança e autoridade, bem como na intensificação de medidas de segurança corporativa para garantir que, caso a praga evolua, ela siga não sendo um perigo importante para as redes internas.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: