Um ataque massivo de ransomware afetou milhares de servidores em países da União Europeia e Estados Unidos. O ataque foi possível devido a duas vulnerabilidades presentes nos servidores que utilizam o VMware ESXi.
As vulnerabilidades em questão são a CVE-2021-21974 e a CVE-2020-3992. Estas vulnerabilidades permitem ao atacante a execução de um código remoto (RCE), através de serviço OpenSLP, na porta 427, sem sequer estar autenticado na aplicação. Entretanto vale ressaltar que a vulnerabilidade foi descoberta há mais de 2 anos, e não houve correção de segurança por parte da VMWare.
E foi com isso que atacantes por trás do ransomware ESXiArgs, conseguiram acessar os servidores de forma remota e executar o malware que criptografou milhares de dados das vítimas.
Nesta semana, a VMWare publicou uma nota aconselhando os clientes a atualizar para as últimas versões com suporte disponíveis dos componentes do vSphere para lidar com as vulnerabilidades atualmente conhecidas. Além disso, a VMware recomendou a desativação do serviço OpenSLP no ESXi desde 2021, quando o ESXi 7.0 U2c e o ESXi 8.0 GA começaram a ser fornecidos com o serviço desativado por padrão.
Números e estatísticas
Até o momento, segundo a plataforma Shodan.io, 1.026 servidores foram afetados pelo ransomware ESXiArgs.
Segundo as estatísticas apresentadas pelo Shodan.io, o país com maior número de hosts infectados é os Estados Unidos, com 275 hosts infectados. Em seguida a França com 271 hosts infectados, que fazem parte dos mais de 600 hosts infectados no continente europeu.
ESXiArgs
O ransomware que leva o nome ESXiArgs, teria por trás membros do grupo Black Matter, Conti e LockBit.
O malware é compilado no formato .elf, formato esse padrão para a execução em sistemas Linux.
Ele criptografa arquivos com as extensões .vmxf, .vmx, .vmdk, .vmsd e .nvram nos servidores VMWare ESXi comprometidos, e cria um arquivo .args para cada documento criptografado.
Através da análise do VirusTotal, podemos obter as seguintes informações com base no IOC (Indicador de Comprometimento) da carga maliciosa do ransomware ESXiArgs:
- HASH: 11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66
- MD5: 87b010bc90cd7dd776fb42ea5b3f85d3
- SHA-1: f25846f8cda8b0460e1db02ba6d3836ad3721f62
- SHA-256: 11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66
- Vhash: 524f3f403cd42af23de1cb4000579a1b
- SSDEEP:768:wcxBGBTlCC4kh9RL0kvRoRzY+0kwKlG8HP6eQPK2:bBJTK+0kwKlG1eQPd
- TLSH: T15423B31F5352062AD09762B3C68B3173E55367B04024098FDAB41A7D5FBE7EF9A292C3
- File type: ELF
- Magic: ELF 64-bit LSBexecutable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs),for GNU/Linux 2.6.8, not stripped
- Telfhash: t15ab01255d20d088c6d032e2484032f2490439887f8bc2301c2f4c459422420bd3cdc2e
- TrID: ELF Executable and Linkable format (Linux) (50.1%) ELF Executable and Linkable format (generic)(49.8%)
- DetectItEasy: ELF64 Library: GLIBC (2.4) [EXEC AMD64-64] Compiler: gcc ((GNU) 4.2.4 (Ubuntu 4.2.4-1ubuntu3)) [EXEC AMD64-64]
- File size: 47.55 KB (48694 bytes)
Na imagem podemos ver o mapa da ameaça e o comportamento do Payload.
E com essas informações, é possível criar uma regra YARA, para a detecção do malware.
Nas imagens a seguir, podemos observar trechos do código utilizado pelo ransomware.
Neste trecho de código, podemos ver a parte do artefato que realiza a criptografia dos arquivos.
Já nesta outra imagem, podemos ver a parte responsável por criar a nota de resgate do ransomware no sistema.
E por fim, o trecho que apaga os rastros deixados pelo artefato.
Pedido de Resgate
Após realizar a criptografia dedados, o ransomware cria uma página com pedido de resgate, para descriptografar os arquivos e não permitir que eles sejam divulgados.
Os valores exigidos pela quadrilha giram em torno de 250 mil reais na cotação atual.
Um ponto importante que vale a pena ser ressaltado, é que apesar do pedido de resgate citar que os arquivos foram roubados, segundo relatos, em alguns casos não foi observada a transferência de arquivos a partir do servidor infectado.
Recuperação de dados
A boa notícia é que o pesquisador Enes Sonmez criou um guia que pode permitir que as vítimas reconstruam suas máquinas virtuais e recuperem seus dados sem a necessidade de pagar o resgate.
As informações de como descriptografar os dados, estão presentes no próprio site do pesquisador.
Cuidados e precauções
O guia para descriptografar arquivos afetados pela vulnerabilidade CVE-2020-3992, publicado pelos pesquisadores de segurança Enes e Ebuzeyd, é uma solução para as empresas atingidas pelo ransomware.
Além disso, os administradores podem usar os indicadores de comprometimento mencionados no alerta para detectar futuros ataques.
Para prevenir ataques de ransomware, recomendamos as seguintes medidas de segurança:
- Realizar backups regulares de dados importantes em locais seguros;
- Atualizar todos os softwares;
- Usar proteções de rede como firewalls e antivírus;
- Conscientizar os colaboradores sobre ameaças;
- Monitorar a rede e sistemas para detectar atividades suspeitas;
- Criar um plano de resposta a incidentes que inclua informações sobre backup e recuperação de sistemas em caso de ataques de ransomware.
Além disso, recomendamos também seguir as orientações passadas pelo VMWare.