O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Governo (CTIR Gov) tem observado um aumento em ataques de Ransomware direcionados a ambientes virtualizados, particularmente contra infraestruturas VMware ESXi. Plataformas de virtualização são componentes importantes da infraestrutura de TI organizacional, mas frequentemente possuem configurações incorretas e, eventualmente, vulnerabilidades.
Esses problemas de segurança são frequentemente explorados por ferramentas automatizadas e grupos de Ransomware, seguindo um padrão que permite a elaboração de estratégias de defesa visando aumentar a resiliência dos ativos em ambientes virtualizados. Ataques a ambientes de virtualização seguem, normalmente, a seguinte lógica:
Acesso inicial: Utilização de credenciais vazadas, ataques de phishing ou exploração de vulnerabilidades conhecidas;
Movimentação lateral e elevação de privilégios: Escalonamento de privilégios para obter credenciais administrativas para hosts ESXi ou vCenter, utilizando métodos como alteração de membros de grupos de domínio, ataques de força bruta, tentativas de sequestro de RDP ou exploração de vulnerabilidades;
Validação de acesso: Após o acesso inicial, utilização do vCenter para habilitar o protocolo SSH nos servidores ESXi, possibilitando execução remota de comandos;
Exfiltração de dados: Cópia de dados para locais remotos com posterior ameaça de divulgá-los publicamente para causar danos adicionais à reputação da organização;
Comprometimento de backups: Além do ambiente virtualizado, os sistemas de backup também são alvos dos atacantes;
Execução do Ransomware: Desligamento de todas as máquinas virtuais e início da criptografia da pasta de volumes do sistema de arquivos ESXi;
Disseminação adicional: Dependendo do nível do acesso, os atacantes podem propagar o Ransomware para servidores e estações de trabalho não virtualizados, ampliando o impacto do ataque além do ambiente de virtualização.
Diante deste cenário, o CTIR Gov reforçou às instituições aderentes à REGIC e demais entidades/instituições a necessidade da adoção das seguintes medidas de prevenção:
Configurar mecanismos de autenticação com múltiplo fator de autenticação (MFA) e políticas rígidas de autorização para reduzir a superfície de ataque, garantindo que apenas o pessoal necessário tenha permissão para acessar o ambiente virtualizado e que cada um tenha sua própria conta privilegiada com permissões mínimas. Senhas complexas e únicas devem ser usadas para cada host ESXi e vCenter.
Garantir que o vCenter e os hosts ESXi recebam atualizações de segurança periódicas. Desativar protocolos não utilizados, como SSH nos hosts ESXi. Configurar o modo de bloqueio para permitir gerenciamento apenas via vCenter. Desativar a execução de scripts não assinados nos hosts ESXi.
Implementar políticas de rede restritivas para todos os componentes de virtualização, de modo a dificultar movimentação lateral. O acesso administrativo deve ser controlado, com visibilidade de tráfego de saída para identificar e bloquear eventual tentativa de exfiltração de dados.
Avaliar, de acordo com a Política de Segurança da Informação da organização, a pertinência da desvinculação dos hosts ESXi do Active Directory, de modo a mitigar riscos de vulnerabilidades que, se exploradas, podem permitir elevação de privilégios e acesso administrativo completo ao sistema de virtualização.
Sistematizar o monitoramento de logs, de modo que todos os componentes do ambiente de virtualização enviem logs para a solução de Gerenciamento de Informações e Eventos de Segurança (SIEM) para retenção e correlação.
Configurar o SIEM para emitir alertas na ocorrência de atividades suspeitas que possam indicar que a infraestrutura virtualizada foi comprometida, como mudanças na senha do root, desativação de recursos de segurança ou ações incomuns/suspeitas, como desligamento de todas as VM do ambiente ou tentativas de login usando credenciais de domínio.
Alinhar o processo de backup com a análise de impacto nos negócios da organização, com verificação regular de integridade, isolados do ambiente de produção e do AD, com acesso controlado com autenticação multifator e com documentação no Plano de Resposta a Incidentes para consulta em caso de ataques.
O órgão ainda recomenda a leitura do guia de configuração de segurança do VMware vSphere, bem como a utilização da planilha de controles de configurações que pode ser usada para guiar a implementação das medidas recomendadas. Sugere-se, ainda, executar as 17 boas práticas recomendadas. As ETIR devem notificar imediatamente o CTIR Gov sobre comprometimentos relacionados a ataques de Ransomware, preferencialmente informando IOC’s e TTP’s.