.
A Equipe de Resposta a Emergências de Computadores da França emitiu um Boletim D’Alerta sobre uma campanha para infectar o hipervisor ESXI da VMware com ransomware.
Temos uma pequena lição de linguagem com esta: o CERT da França descreve isso como uma tentativa de “desenvolver um rançongiciel”, enquanto a Agenzia per la Cybersicurezza Nazionale da Itália – que também avisou da campanha – adverte que um “rilascio di ransomware” está em andamento.
Nenhuma das autoridades de segurança da informação do país oferece qualquer informação sobre a origem do ataque, mas ambas observam que ele ocorre após o CVE-2021-21974 – um bug com classificação 9.1/10 divulgado e corrigido há quase dois anos, em fevereiro de 2021.
CVE-2021-21974 afeta ESXi 7.0, 6.7 e 6.5. As duas últimas versões saíram do suporte em outubro de 2022.
Temos certeza de que aqueles que executam códigos sem suporte e sem patches têm bons motivos para fazê-lo. Agora você tem um bom motivo para mudar seu comportamento tudo de suite, porque os criminosos de ransomware não lançam campanhas a menos que vejam alguns alvos ricos. E os alvos não são muito mais ricos do que o ESXi – o hypervisor bare metal pode permitir acesso a muitas máquinas convidadas que executam aplicativos e armazenam dados.
Felizmente, o ransomware implantado neste ataque é um pouco ruim. Cloud com sede na França A OVH observado a campanha e acredita que a criptografia às vezes falha e que os dados não são exfiltrados. As ferramentas de descriptografia também são Já disponível.
A organização também observou os seguintes indicadores de comprometimento:
- O vetor de comprometimento está confirmado para usar uma vulnerabilidade OpenSLP que pode ser CVE-2021-21974 (ainda a ser confirmada). Os logs realmente mostram o usuário
dc-uicomo envolvidos no processo de compromisso. - A criptografia está usando uma chave pública implantada pelo malware em
/tmp/public.pem - O processo de criptografia visa especificamente arquivos de máquinas virtuais (
.vmdk,.vmx,.vmxf,.vmsd,.vmsn,.vswp,.vmss,.nvram,*.vmem) - O malware tenta desligar as máquinas virtuais matando o processo VMX para desbloquear os arquivos. Esta função não está funcionando sistematicamente como esperado, resultando em arquivos permanecendo bloqueados.
- O malware cria
argsfilepara armazenar os argumentos passados para o binário criptografado (número de MB para ignorar, número de MB no bloco de criptografia, tamanho do arquivo).
O acima deve ajudar os usuários a determinar se eles foram alvo desta campanha e potencialmente infectados por ransomware.
A VMware, por sua vez, avisou em 2 de fevereiro de uma vulnerabilidade de exclusão de arquivo arbitrário na versão 17.x de seu hipervisor de desktop Workstation. CVE-2023-20854 é classificado como 7.8/10 como “um ator mal-intencionado com privilégios de usuário local na máquina da vítima pode explorar esta vulnerabilidade para excluir arquivos arbitrários do sistema de arquivos da máquina na qual o Workstation está instalado”.
Atualizar para a versão 17.0.1 bate na cabeça. ®
.
