Um bug de software não corrigido presente nos servidores ESXi da VMWare está sendo explorado por hackers com o objetivo de espalhar ransomware em todo o mundo.
Servidores VMWare sem patch são abusados por hackers
Uma vulnerabilidade de software de dois anos presente nos servidores ESXi da VMWare tornou-se alvo de uma ampla campanha de hackers. O objetivo do ataque é implantar o ESXiArgs, uma nova variante do ransomware. Estima-se que centenas de organizações tenham sido afetadas.
A Equipe de Resposta a Emergências de Computadores da França (CERT) publicou uma declaração em 3 de fevereiro, na qual a natureza dos ataques foi discutida. No posto CERT, foi escrito que as campanhas "parecem ter aproveitado a exposição do ESXi hipervisores que não foram atualizados com patches de segurança com rapidez suficiente." O CERT também observou que o bug visado "permite que um invasor execute uma exploração remota de código arbitrário".
As organizações foram instadas a corrigir a vulnerabilidade do hipervisor para evitar serem vítimas dessa operação de ransomware. No entanto, o CERT lembrou aos leitores na declaração acima mencionada que "a atualização de um produto ou software é uma tarefa delicada operação que deve ser realizada com cautela" e que "recomenda-se a realização de testes tanto quanto possível."
VMWare também falou sobre a situação
Juntamente com o CERT e várias outras entidades, a VMWare também divulgou um post sobre esse ataque global. Em um Aconselhamento VMWare, foi escrito que a vulnerabilidade do servidor (conhecida como CVE-2021-21974) poderia dar a atores maliciosos a capacidade de "acionar o problema de estouro de heap no serviço OpenSLP, resultando em código remoto execução."
A VMWare também observou que emitiu um patch para esta vulnerabilidade em fevereiro de 2021, que pode ser usado para cortar o vetor de ataque dos operadores maliciosos e, portanto, evitar ser alvo.
Este ataque não parece ser estatal
Embora as identidades dos atacantes nesta campanha ainda não sejam conhecidas, foi dito pelo National Cybersecurity da Itália Agência (ACN) que atualmente não há evidências sugerindo que o ataque foi realizado por qualquer entidade estatal (conforme relatado por Reuters). Várias organizações italianas foram afetadas por este ataque, bem como organizações na França, Estados Unidos, Alemanha e Canadá.
Sugestões foram dadas sobre quem poderia ser o responsável por esta campanha, com softwares de vários famílias de ransomware como BlackCat, Agenda e Nokoyawa, sendo considerados. O tempo dirá se as identidades dos operadores podem ser descobertas.
Ataques de ransomware continuam a representar um grande risco
Com o passar dos anos, mais e mais organizações estão sendo vítimas de ataques de ransomware. Este modo de cibercrime tornou-se incrivelmente popular entre os agentes mal-intencionados, com este hack VMWare global mostrando o quão difundidas podem ser as consequências.