A Sophos divulgou detalhes de um novo ransomware escrito em Python, usado pelos invasores para comprometer e criptografar máquinas virtuais hospedadas em um hipervisor ESXi. O relatório, “Python Ransomware Script tem como alvo servidores ESXi para criptografia”, detalha uma operação semelhante a um atirador de elite que levou menos de três horas para progredir da violação à criptografia.
“Python é uma linguagem de codificação pouco usada para ransomware. No entanto, é pré-instalado em sistemas baseados em Linux, como ESXi, e isso torna possíveis ataques baseados em Python nestes sistemas. Os servidores ESXi representam um alvo atraente para os cibercriminosos porque podem atacar várias máquinas virtuais ao mesmo tempo, onde cada uma delas pode estar executando aplicativos ou serviços essenciais aos negócios. Os ataques aos hipervisores podem ser rápidos e altamente perturbadores”, explica Andrew Brandt, Principal Pesquisador da Sophos.
Cronologia do ataque
A investigação da Sophos revelou que o ataque começou às 12h30 de um domingo, quando os operadores de ransomware invadiram uma conta TeamViewer em execução em um computador que pertencia a um usuário que também tinha credenciais de acesso de administrador de domínio.
De acordo com os investigadores, 10 minutos depois, os criminosos usaram a ferramenta Advanced IP Scanner para procurar alvos na rede. Os investigadores acreditam que o ESXi Server na rede era vulnerável porque tinha um Shell ativo, uma interface de programação que as equipes de TI usam para comandos e atualizações. Isso permitiu que eles instalassem uma ferramenta de comunicação de rede segura chamada Bitvise na máquina do administrador do domínio, o que lhes deu acesso remoto ao sistema ESXi, incluindo os arquivos do disco virtual usados pelas máquinas virtuais. Por volta das 3h40, o ransomware foi implantado e os discos rígidos virtuais hospedados no servidor ESXi foram criptografados.
Conselhos de Segurança
“Os administradores que operam ESXi ou outros hipervisores em suas redes devem seguir algumas práticas recomendadas de segurança. Isso inclui o uso de senhas exclusivas fortes e a aplicação de autenticação multifator sempre que possível”, orienta Brandt. “O ESXi Shell pode e deve ser desabilitado sempre que não estiver sendo utilizado pela equipe para manutenção de rotina, por exemplo, durante a instalação de patches. A equipe de TI pode fazer isso usando os controles do console do servidor ou as ferramentas de gerenciamento de software disponibilizadas pelo fornecedor”.
A Sophos recomenda ainda as seguintes práticas para ajudar na defesa contra ransomware e ataques cibernéticos relacionados:
Em um nível estratégico
• Implantar proteção em camadas. À medida que mais ataques de ransomware começam a envolver extorsão, os backups continuam necessários, mas insuficientes. Em primeiro lugar, o mais importante é manter os cibercriminosos fora ou detectá-los rapidamente, antes que causem danos. Por isso, é fundamental usar uma proteção em camadas para bloquear e detectar invasores em todos os pontos possíveis;
• Combinar especialistas humanos e tecnologia anti-ransomware. A chave para parar o ransomware é a defesa em profundidade que combina tecnologia anti-ransomware dedicada e busca de ameaças liderada por humanos. A tecnologia fornece a escala e a automação de que uma organização precisa, enquanto os especialistas humanos são mais capazes de detectar as táticas, técnicas e procedimentos que indicam que um invasor está tentando entrar no ambiente. Se as organizações não tiverem as habilidades internas, elas podem obter o apoio de especialistas em segurança cibernética.
Em um nível tático do dia-a-dia
• Monitorar e responder aos alertas. É essencial certificar-se de que as ferramentas, processos e recursos (pessoas) apropriados estejam disponíveis para monitorar, investigar e responder às ameaças vistas no ambiente. Os atacantes de ransomware muitas vezes cronometram o ataque fora do horário de pico, nos fins de semana ou durante os feriados, supondo que poucas pessoas ou ninguém esteja observando;
• Definir e aplicar senhas fortes. As senhas fortes servem como uma das primeiras linhas de defesa. As senhas devem ser exclusivas ou complexas e nunca reutilizadas. Isso é mais fácil de fazer com um gerenciador de senhas que pode armazenar as credenciais da equipe;
• Usar a autenticação multifator (MFA). Mesmo as senhas fortes podem ser comprometidas. Qualquer forma de autenticação multifator é melhor do que nenhuma para proteger o acesso a recursos críticos, como e-mail, ferramentas de gerenciamento remoto e ativos de rede;
• Bloquear os serviços acessíveis. É fundamental realizar varreduras de rede e identificar e bloquear as portas comumente usadas por VNC, RDP ou outras ferramentas de acesso remoto. Se uma máquina precisa ser alcançada usando uma ferramenta de gerenciamento remoto, é importante colocar a ferramenta atrás de uma VPN ou solução de acesso à rede de confiança zero que usa autenticação multifator como parte do login;
• Segmentação prática e confiança zero. É indispensável separar os servidores críticos uns dos outros e das estações de trabalho, colocando-os em VLANs separadas enquanto se trabalha em direção a um modelo de rede de confiança zero;
• Fazer backups offline de informações e aplicativos. Manter os backups atualizados, além de ter uma cópia offline, garante sua capacidade de recuperação;
• Fazer um inventário de ativos e contas. Dispositivos desconhecidos, desprotegidos e sem patch na rede aumentam o risco e criam uma situação em que atividades maliciosas podem passar despercebidas. É vital ter um inventário atual de todas as instâncias de computação conectadas. Por isso, é necessário realizar varreduras de rede, ferramentas IaaS e verificações físicas para localizar e catalogar e instalar software de proteção de endpoint em qualquer máquina que não tenha proteção;
• Certificar-se de que os produtos de segurança estejam configurados corretamente. Sistemas e dispositivos desprotegidos também são vulneráveis. É importante garantir que as soluções de segurança sejam configuradas corretamente e, quando necessário, validar e atualizar as políticas de segurança regularmente. Novos recursos de segurança nem sempre são ativados automaticamente, por isso é extremamente importante não desativar a proteção contra adulteração ou criar amplas exclusões de detecção, pois isso tornará o trabalho de um invasor mais fácil;
• Auditoria do Active Directory (AD). Realizar auditorias regulares em todas as contas no AD garante que nenhuma delas tenha mais acesso do que o necessário. Além disso, é extremamente recomendado desativar contas para funcionários que estão saindo da empresa;
• Manter todos os sistemas atualizados. Atualizar o Windows e outros sistemas operacionais. Isso também significa verificar se os patches foram instalados corretamente e se estão em vigor para sistemas críticos, como máquinas voltadas para a Internet ou controladores de domínio.