Contato
Quem Somos
Quero Patrocinar

Pesquisadores descobrem novo ransomware Python que visa servidores ESXi

De acordo com as descobertas, Python ataca em velocidade ultra-alta e visa, também, máquinas virtuais
  • Por: Redação
  • outubro 13, 2021

Compartilhar:

A Sophos divulgou detalhes de um novo ransomware escrito em Python, usado pelos invasores para comprometer e criptografar máquinas virtuais hospedadas em um hipervisor ESXi. O relatório, “Python Ransomware Script tem como alvo servidores ESXi para criptografia”, detalha uma operação semelhante a um atirador de elite que levou menos de três horas para progredir da violação à criptografia.

 

“Python é uma linguagem de codificação pouco usada para ransomware. No entanto, é pré-instalado em sistemas baseados em Linux, como ESXi, e isso torna possíveis ataques baseados em Python nestes sistemas. Os servidores ESXi representam um alvo atraente para os cibercriminosos porque podem atacar várias máquinas virtuais ao mesmo tempo, onde cada uma delas pode estar executando aplicativos ou serviços essenciais aos negócios. Os ataques aos hipervisores podem ser rápidos e altamente perturbadores”, explica Andrew Brandt, Principal Pesquisador da Sophos.

 

Cronologia do ataque

 

A investigação da Sophos revelou que o ataque começou às 12h30 de um domingo, quando os operadores de ransomware invadiram uma conta TeamViewer em execução em um computador que pertencia a um usuário que também tinha credenciais de acesso de administrador de domínio.

 

De acordo com os investigadores, 10 minutos depois, os criminosos usaram a ferramenta Advanced IP Scanner para procurar alvos na rede. Os investigadores acreditam que o ESXi Server na rede era vulnerável porque tinha um Shell ativo, uma interface de programação que as equipes de TI usam para comandos e atualizações. Isso permitiu que eles instalassem uma ferramenta de comunicação de rede segura chamada Bitvise na máquina do administrador do domínio, o que lhes deu acesso remoto ao sistema ESXi, incluindo os arquivos do disco virtual usados pelas máquinas virtuais. Por volta das 3h40, o ransomware foi implantado e os discos rígidos virtuais hospedados no servidor ESXi foram criptografados.

 

Conselhos de Segurança

 

“Os administradores que operam ESXi ou outros hipervisores em suas redes devem seguir algumas práticas recomendadas de segurança. Isso inclui o uso de senhas exclusivas fortes e a aplicação de autenticação multifator sempre que possível”, orienta Brandt. “O ESXi Shell pode e deve ser desabilitado sempre que não estiver sendo utilizado pela equipe para manutenção de rotina, por exemplo, durante a instalação de patches. A equipe de TI pode fazer isso usando os controles do console do servidor ou as ferramentas de gerenciamento de software disponibilizadas pelo fornecedor”.

 

A Sophos recomenda ainda as seguintes práticas para ajudar na defesa contra ransomware e ataques cibernéticos relacionados:

 

Em um nível estratégico

 

• Implantar proteção em camadas. À medida que mais ataques de ransomware começam a envolver extorsão, os backups continuam necessários, mas insuficientes. Em primeiro lugar, o mais importante é manter os cibercriminosos fora ou detectá-los rapidamente, antes que causem danos. Por isso, é fundamental usar uma proteção em camadas para bloquear e detectar invasores em todos os pontos possíveis;

 

• Combinar especialistas humanos e tecnologia anti-ransomware. A chave para parar o ransomware é a defesa em profundidade que combina tecnologia anti-ransomware dedicada e busca de ameaças liderada por humanos. A tecnologia fornece a escala e a automação de que uma organização precisa, enquanto os especialistas humanos são mais capazes de detectar as táticas, técnicas e procedimentos que indicam que um invasor está tentando entrar no ambiente. Se as organizações não tiverem as habilidades internas, elas podem obter o apoio de especialistas em segurança cibernética.

 

Em um nível tático do dia-a-dia

 

• Monitorar e responder aos alertas. É essencial certificar-se de que as ferramentas, processos e recursos (pessoas) apropriados estejam disponíveis para monitorar, investigar e responder às ameaças vistas no ambiente. Os atacantes de ransomware muitas vezes cronometram o ataque fora do horário de pico, nos fins de semana ou durante os feriados, supondo que poucas pessoas ou ninguém esteja observando;

 

• Definir e aplicar senhas fortes. As senhas fortes servem como uma das primeiras linhas de defesa. As senhas devem ser exclusivas ou complexas e nunca reutilizadas. Isso é mais fácil de fazer com um gerenciador de senhas que pode armazenar as credenciais da equipe;

 

• Usar a autenticação multifator (MFA). Mesmo as senhas fortes podem ser comprometidas. Qualquer forma de autenticação multifator é melhor do que nenhuma para proteger o acesso a recursos críticos, como e-mail, ferramentas de gerenciamento remoto e ativos de rede;

 

• Bloquear os serviços acessíveis. É fundamental realizar varreduras de rede e identificar e bloquear as portas comumente usadas por VNC, RDP ou outras ferramentas de acesso remoto. Se uma máquina precisa ser alcançada usando uma ferramenta de gerenciamento remoto, é importante colocar a ferramenta atrás de uma VPN ou solução de acesso à rede de confiança zero que usa autenticação multifator como parte do login;

 

• Segmentação prática e confiança zero. É indispensável separar os servidores críticos uns dos outros e das estações de trabalho, colocando-os em VLANs separadas enquanto se trabalha em direção a um modelo de rede de confiança zero;

 

• Fazer backups offline de informações e aplicativos. Manter os backups atualizados, além de ter uma cópia offline, garante sua capacidade de recuperação;

 

• Fazer um inventário de ativos e contas. Dispositivos desconhecidos, desprotegidos e sem patch na rede aumentam o risco e criam uma situação em que atividades maliciosas podem passar despercebidas. É vital ter um inventário atual de todas as instâncias de computação conectadas. Por isso, é necessário realizar varreduras de rede, ferramentas IaaS e verificações físicas para localizar e catalogar e instalar software de proteção de endpoint em qualquer máquina que não tenha proteção;

 

• Certificar-se de que os produtos de segurança estejam configurados corretamente. Sistemas e dispositivos desprotegidos também são vulneráveis. É importante garantir que as soluções de segurança sejam configuradas corretamente e, quando necessário, validar e atualizar as políticas de segurança regularmente. Novos recursos de segurança nem sempre são ativados automaticamente, por isso é extremamente importante não desativar a proteção contra adulteração ou criar amplas exclusões de detecção, pois isso tornará o trabalho de um invasor mais fácil;

 

• Auditoria do Active Directory (AD). Realizar auditorias regulares em todas as contas no AD garante que nenhuma delas tenha mais acesso do que o necessário. Além disso, é extremamente recomendado desativar contas para funcionários que estão saindo da empresa;

 

• Manter todos os sistemas atualizados. Atualizar o Windows e outros sistemas operacionais. Isso também significa verificar se os patches foram instalados corretamente e se estão em vigor para sistemas críticos, como máquinas voltadas para a Internet ou controladores de domínio.

Destaques

Cisco aposta na proteção de nuvem com novas usabilidades da IA

Polícia Federal interrompe emissão de passaportes por tentativa de ciberataque

Maioria dos bancos tem a Cibersegurança como prioridade estratégica, afirma Febraban

Segurança Adaptativa é tendência tecnológica para governos em 2024, aponta Gartner

ciberataques aumentam 38% no Brasil durante primeiro trimestre de 2024

Alta demanda em Cyber impulsiona terceirização de SOC no setor público

Colunas & Blogs

Avatar photo
Urgência na Proatividade: Uma Análise dos Principais Motivadores para Investimentos em SI na visão dos CISOs
Alex Amorim
Avatar photo
Minha organização foi invadida. E agora?
Fabio Correa Xavier
Avatar photo
Caminhada (Não tão) solitária rumo à Segurança Digital
Rodrigo Jorge
Avatar photo
Práticas recomendadas para proteger cargas de trabalho na nuvem
Luiz Firmino
Avatar photo
A caminho de uma Guerra Cibernética Mundial
Rangel Rodrigues
Avatar photo
Piloto Automático: por que o ser humano é o elo mais fraco em Cybersecurity?
Rui Borges
Avatar photo
Crimes cibernéticos: a personalização de ataques usando IA e ransomware
Fabiana Tanaka

Conteúdos Relacionados

Security Report | Overview

Segurança Adaptativa é tendência tecnológica para governos em 2024, aponta Gartner

CIOs (Chief Information Officers) ligados à área governamental devem aproveitar essa e outras tendências para expandir seus recursos...
Leia Mais
  • Redação
  • abril 18, 2024
Security Report | Overview

ciberataques aumentam 38% no Brasil durante primeiro trimestre de 2024

Já o crescimento global foi de 28% no período. América Latina teve uma diminuição de 20% de ataques cibernéticos...
Leia Mais
  • Redação
  • abril 18, 2024
Security Report | Overview

Alta demanda em Cyber impulsiona terceirização de SOC no setor público

Contratação de serviços gerenciados é medida para enfrentar escassez de mão de obra qualificada e defasagem tecnológica na área governamental...
Leia Mais
  • Redação
  • abril 18, 2024
Security Report | Overview

SEK anuncia aquisição da PROOF

Empresa adquirida é referência MDR (Managed Detection and Response), maior subsegmento de serviços do mercado de Segurança da Informação e...
Leia Mais
  • Redação
  • abril 17, 2024

Maior portal de Segurança da Informação e Cibernética do Brasil

Linkedin-in Instagram Facebook-f Flickr

Sua marca no único portal de Segurança da Informação e Cyber Security do País

Seja um patrocinador

Inscreva-se na nossa Newsletter

Security Leaders
Próximos Eventos
Eventos realizados
Security Report
TVSecurity
Executive Report
Decision Report
Quem somos
Política de Privacidade
Quero patrocinar
Contato
Home
© 2024 Security Leader. Todos os Direitos Reservados. Agência Unit