.
Os hackers estão explorando uma vulnerabilidade VMWare não corrigida para atingir servidores ESXi e espalhar ransomware.
Um bug de software não corrigido presente nos servidores ESXi da VMWare está sendo explorado por hackers com o objetivo de espalhar ransomware em todo o mundo.
Servidores VMWare sem patch são abusados por hackers
Uma vulnerabilidade de software de dois anos presente nos servidores ESXi da VMWare tornou-se alvo de uma ampla campanha de hackers. O objetivo do ataque é implantar o ESXiArgs, uma nova variante do ransomware. Estima-se que centenas de organizações tenham sido afetadas.
A Equipe de Resposta a Emergências de Computadores da França (CERT) publicou uma declaração em 3 de fevereiro, na qual a natureza dos ataques foi discutida. Na postagem do CERT, foi escrito que as campanhas “parecem ter aproveitado a exposição dos hipervisores ESXi que não foram atualizados com patches de segurança com rapidez suficiente”. O CERT também observou que o bug visado “permite que um invasor execute uma exploração remota de código arbitrário”.
As organizações foram instadas a corrigir a vulnerabilidade do hipervisor para evitar serem vítimas dessa operação de ransomware. No entanto, o CERT lembrou aos leitores no referido comunicado que “a atualização de um produto ou software é uma operação delicada que deve ser realizada com cautela” e que “recomenda-se a realização de testes o máximo possível”.
VMWare também falou sobre a situação
Juntamente com o CERT e várias outras entidades, a VMWare também divulgou um post sobre esse ataque global. Em um comunicado da VMWare, foi escrito que a vulnerabilidade do servidor (conhecida como CVE-2021-21974) poderia dar a atores mal-intencionados a capacidade de “acionar o problema de estouro de heap no serviço OpenSLP, resultando na execução remota de código”.
A VMWare também observou que emitiu um patch para esta vulnerabilidade em fevereiro de 2021, que pode ser usado para cortar o vetor de ataque dos operadores maliciosos e, portanto, evitar ser alvo.
Este ataque não parece ser estatal
Embora as identidades dos atacantes nesta campanha ainda não sejam conhecidas, foi dito pela Agência Nacional de Cibersegurança da Itália (ACN) que atualmente não há evidências sugerindo que o ataque foi realizado por qualquer entidade estatal (conforme relatado pela Reuters). Várias organizações italianas foram afetadas por este ataque, bem como organizações na França, Estados Unidos, Alemanha e Canadá.
Sugestões foram dadas sobre quem poderia ser o responsável por esta campanha, com software de várias famílias de ransomware, como BlackCat, Agenda e Nokoyawa, sendo considerado. O tempo dirá se as identidades dos operadores podem ser descobertas.
Ataques de ransomware continuam a representar um grande risco
Com o passar dos anos, mais e mais organizações estão sendo vítimas de ataques de ransomware. Este modo de cibercrime tornou-se incrivelmente popular entre os agentes mal-intencionados, com este hack VMWare global mostrando o quão difundidas podem ser as consequências.
.
