Ransomware em um ambiente virtual

Vários grupos cibercriminosos exploraram vulnerabilidades no VMware ESXi para infectar computadores com ransomware.

Embora reduza significativamente alguns riscos de ameaças cibernéticas, a virtualização não é mais milagrosa do que qualquer outra prática. Um ataque de ransomware ainda pode atingir a infraestrutura virtual, como o portal ZDNet relatou recentemente, por exemplo, por meio de versões vulneráveis do VMware ESXi.

Usar máquinas virtuais é uma prática segura. Por exemplo, o uso de uma VM (virtual machine) pode atenuar os danos de uma infecção se a máquina virtual não contiver dados confidenciais. Mesmo se o usuário acidentalmente ativar um Trojan em uma máquina virtual, a simples montagem de uma nova imagem da máquina virtual reverte todas as alterações maliciosas.

No entanto, o RansomExx visa especificamente vulnerabilidades no VMware ESXi para atacar discos rígidos virtuais. O grupo Darkside usa o mesmo método, e os criadores do cavalo de Tróia BabukLocker sugerem ser capazes de criptografar o ESXi.

Quais são as vulnerabilidades?

O hipervisor VMware ESXi permite que várias máquinas virtuais armazenem informações em um único servidor por meio de Open SLP (Service Layer Protocol), que pode, entre outras coisas, detectar dispositivos de rede sem pré-configuração. As duas vulnerabilidades em questão são CVE-2019-5544 e CVE-2020-3992, ambas antigas e, portanto, não são novidades para os cibercriminosos. O primeiro é usado para realizar ataques do tipo heap overflow e o segundo é do tipo Use-After-Free – ou seja, relacionado ao uso incorreto de memória dinâmica durante a operação.

Ambas as vulnerabilidades foram solucionadas há algum tempo (a primeira em 2019, a segunda em 2020), mas em 2021, os criminosos ainda estão realizando ataques bem-sucedidos por meio delas. Como de costume, isso significa que algumas organizações não atualizaram seus softwares.

Como malfeitores exploram vulnerabilidades ESXi

Os invasores podem usar as vulnerabilidades para gerar solicitações SLP maliciosas e comprometer o armazenamento de dados. Para criptografar as informações, eles precisam primeiro, é claro, penetrar na rede e lá permanecerem. Isso não é um grande problema, especialmente se a máquina virtual não estiver executando uma solução de segurança.

Para entrar no sistema, os operadores RansomExx podem, por exemplo, usar a vulnerabilidade Zerologon (no protocolo remoto Netlogon). Ou seja, eles enganam o usuário para que ele execute um código malicioso na máquina virtual, depois assumem o comando do controlador do Active Directory e só então criptografam o armazenamento, deixando uma mensagem de resgate.

A propósito, a Zerologon não é a única, mas é uma das opções mais perigosas porque sua exploração é quase impossível de detectar sem serviços especiais.

Como se manter protegido de ataques a MSXI

  • Atualize o VMware ESXi;
  • Use a solução alternativa sugerida pela VMware se a atualização for absolutamente impossível (mas tenha em mente que este método limitará alguns recursos SLP);
  • Atualize o Microsoft Netlogon para corrigir essa vulnerabilidade também;
  • Proteja todas as máquinas da rede, inclusive as virtuais;
  • Use o Managed Detection and Response, que detecta até mesmo ataques complexos em vários estágios que não são visíveis às soluções antivírus convencionais.
Dicas