O incidente envolvendo os sistemas ESXi da VMware impactou uma série de empresas em diversos países no início dessa semana. O caso chamou a atenção por ter sido um dos mais extensos ataques com ransomware direcionados a plataforma não Windows. Até quarta-feira (08), foram identificados 1.812 hosts infectados pelo ransomware ESXIArgs, sendo os países mais afetados França, Estados Unidos, Alemanha, Canadá e Reino Unido. No Brasil, foram detectados 17 servidores atingidos, o que mantém o país fora dos mais afetados.
Além disso, o fato deu destaque ao pesado dos CISOs nos processos de atualização de patchs, uma vez que a VMware havia disponibilizado há pelo menos dois anos essa correção. De acordo com Marcos de Almeida, gerente de Red Team da Redbelt Security, o caso pode ser interpretado como “a ocasião fez o ladrão”, pois os atacantes, após descobrirem os diversos servidores expostos pela vulnerabilidade CVE-2021-21974, criaram o malware no formato “.elf”, um arquivo executável em Linux e compatível às máquinas vulneráveis.
“Isso se deve por dois tipos de ataques: o extorsivo, em que os atacantes miram servidores para torna-los indisponíveis e roubar dados. O segundo é o Cryptojacking, no qual os ataques infectam servidores com o objetivo de transformá-los em mineradores de criptomoedas, devido ao seu alto poder de processamento”, explicou o executivo em entrevista à Security Report.
Entretanto, ainda não é possível determinar precisamente a quantidade de empresas ou instituições mais afetadas pela exploração dessa brecha, já que a característica desse ataque é poder mirar qualquer tipo de alvo que esteja vulnerável a ele. Também por isso o incidente conseguiu alcançar várias verticais de negócios diferentes.
Priorização ainda é necessária
O Diretor de Engenharia e Arquitetura de Cibersegurança da Tenable para América Latina, Alexandre Sousa, comentou que o desafio das correções de patches passa por diversos fatores. Entre eles, a complexidade dos ambientes, a necessidade de testar e validar as camadas dos sistemas, de avaliar o risco de aplicação do patch versus o risco de não o aplicar e limitação de recursos de pessoas e orçamento. Além disso, não ter visibilidade de quais são as correções mais prioritárias e dos vetores de ataques são outras razões para as empresas seguirem ineficientes na gestão de vulnerabilidades.
“É preciso entender que, hoje, as equipes de SI são desafiadas a acompanhar o constante fluxo de dados de múltiplas soluções e a analisar efetivamente todos esses dados para tomar decisões informadas e proativas sobre quais exposições representam o maior risco para a organização. Por isso, muitas vezes as empresas atuam de forma reativa, respondendo a eventos”, pontua o executivo em entrevista à Security Report.
Ele acrescenta que, como os cibercriminosos podem atacar de todos os lados, as equipes de Segurança devem sempre convergir nos três pilares mais conhecidos a fim de garantir que todas as extremidades da rede estejam cobertas: pessoas, processos e tecnologia.
Souza sugere que a necessidade de priorizar o enfrentamento aos maiores riscos exige uma análise de todos os ângulos da estrutura digital da empresa. Com isso, o profissional precisa responder ao nível de exposição, definir prioridades, garantir uma queda contínua dessa exposição e manter uma média geral de risco em comparação ao resto das empresas na mesma vertical.
“A análise e remediação devem fazer parte de um programa de gerenciamento de exposição completo nas empresas, facilitando o entendimento dos riscos para uma melhor tomada de decisão. Além disso, o mercado demanda uma plataforma de gerenciamento de exposição que avalia todo o parque tecnológico, já que não há mais espaço para soluções que criam mais silos dentro das companhias”, conclui o Diretor de Cibersegurança.
