Os ataques de Ransomware estão cada vez mais presentes e direcionados. Entre os motivos apontados por especialistas está a falta de preparo das empresas para barrar esse tipo de ameaça. Um exemplo recente aconteceu no início de fevereiro de 2023, após diversas Agências de Segurança da Informação relatarem a ocorrência de ataques cibernéticos pelo Ransomware ESXiArgs em milhares de servidores do modelo ESXi da VMware em empresas na Europa e na América do Norte. O objetivo desses ataques foi explorar uma vulnerabilidade de software presente nos sistemas desatualizados.
O Brasil não está nem de longe imune a esse tipo de ataque e aparece em quarto lugar no ranking dos cinco países mais afetados pelo problema, segundo dados da Accenture, que revelam que 47% dos ataques ocorreram em organizações instaladas nos EUA, seguidos pela Itália (8%), Austrália (8%), Brasil (6%) e Alemanha (6%).
No Brasil, o problema tem sido acompanhado de perto por Bruno Giordano, Chief Information Security Officer (CISO) da Ativy Digital, especialista em soluções e serviços de cibersegurança, localizada em Campinas (SP). Ele explica que a companhia está alerta e tem feito o monitoramento e adotado medidas de prevenção, que podem servir como base para outras empresas. Bruno alerta que o mesmo pode acontecer em pouco tempo no Brasil, “justamente pelo fato de que diversas empresas que utilizam o sistema de virtualização onde aconteceu o ataque não possuírem um nível de maturidade de segurança cibernética elevada, tornando o sistema exposto para a internet, sem nenhum tipo de bloqueio ou restrição de acesso”, afirma.
O especialista explica como está sendo feito o monitoramento pela Ativy Digital e quais seriam as medidas de segurança que as empresas em geral devem se atentar. “É importante destacar primeiro como monitoramos o surgimento dessa nova variante. Identificamos todo o processo de execução, comportamento, principais características e quais os métodos necessários para o bloqueio do processo de execução. Essa é uma das principais etapas para permanecermos um passo à frente dos agentes maliciosos”, diz Bruno.
Na companhia, o monitoramento é feito por meio do serviço de Threat Intelligence (Inteligência de Ameaça) executado pela Business Unit (BU) de cybersecurity da Ativy Digital, que contempla um monitoramento em nível global, permitindo a identificação de novas anomalias que apresentam um risco para a operação de Cloud e seus clientes. E assim como o divulgado pelas agências internacionais, graças a ele a equipe também identificou o comportamento do ataque cibernético em diversos países pelo Ransomware ESXiArgs, nos servidores VMware ESXi, que é o sistema de virtualização utilizado por diversas empresas, sem correção de uma vulnerabilidade de execução remota de código.
Medidas de segurança
A partir da identificação, como medida preditiva e preventiva, foram executadas diversas ações, começando pela comunicação do ocorrido. O time de Cyber notificou os principais gestores da operação, detalhando os riscos, o entendimento sobre a nova variante e todos os pontos necessários para mitigar todos os riscos, assim como blindar os clientes, evitando qualquer tipo de contágio com a nova variante.
“Tudo que envolve a tratativa de uma nova variante necessita de foco em seu comportamento e exige a identificação das principais ações e alvos. Nesse caso, a nova variante tinha como foco arquivos de máquinas virtuais (ex.: arquivos com extensões .vmdk, .vmx, .vmxf e outros do mesmo segmento de arquivos), criptografando todos os arquivos e automaticamente causando uma interrupção, sem recuperação, em toda a operação de virtualização”, relata Bruno.
Identificado o foco da ameaça, o próximo passo foi descobrir quais seriam os vetores de ataque e seus métodos de exploração para compartilhar esse conhecimento por meio de ações preventivas para os demais times. “Após o compartilhamento das ações, aguardamos a confirmação do time de infra para nos informar nas horas seguintes o impacto e a janela de execução para desabilitarmos o serviço OpenSLP em todos os ambientes Saas e IaaS”, relata o especialista em cibersegurança.
Na sequência, a equipe enviou um comunicado aos clientes reforçando que o serviço OpenSLP, no qual estaria a principal causa da vulnerabilidade explorada pela variante, estava desabilitado em todos os ambientes Saas e IaaS. As camadas adicionais de segurança habilitadas foram: a segregação dos ambientes; administração dos hosts ESXi somente através do Sphere Client com múltiplo fator de autenticação (MFA) habilitado com acesso limitado somente através de VPN; habilitação de todos os recursos de auditoria para gestão dos acessos e ações executadas no ESXi.
“Além das ações adotadas, reforçamos a importância de sempre ter todas as atualizações de segurança em todos os ambientes e serviços em sua última versão recomendada pelos próprios fabricantes”, reforça Bruno. Também foi desenvolvido um Playbook, que contempla ações e recomendações diárias para evitar qualquer tipo de contágio com novas e futuras variantes do Ransomware. Tais ações envolvem planos como:
– Execução de treinamentos de conscientização;
– Ações preventivas e de forma antecipada para redução das superfícies de ataque;
– Governança para gestão em contas com privilégios administrativos;
– Implantação e desenvolvimento de mecanismos de antecipação;
– Atualização e aplicação do Plano de Respostas a Incidentes;
– Atualização e aplicação do Plano de Recuperação.
Toda a segurança deve ser prioridade nas empresas, sendo assim, Bruno reforça que, além dos cuidados citados, é preciso fazer mais diariamente. “As organizações precisam ser proativas ao proteger seus sistemas contra qualquer tipo de ameaça e outros ataques. E isso inclui adotar estruturas de segurança, gestão e sustentação através de um Centro de Operações de Segurança”, finaliza.
