ESXiArgs | Ataque de ransomware em grande escala já tem vítimas no Brasil

Quase uma semana depois de começar em pelo menos cinco países da América do Norte e Europa, os ataques ESXiArgs finalmente começaram a fazer vítimas no Brasil. Entre quinta (09) e esta sexta-feira (10), pelo menos 21 servidores de virtualização baseados na tecnologia caíram sob os golpes de ransomware que vem atingindo infraestruturas de todo o mundo.

• Falha corrigida em 2021 leva ao maior ataque de ransomware dos últimos anos
• Quatro medidas urgentes para aumentar a segurança de sua empresa

Enquanto a maioria dos comprometimentos foi registrado na França e EUA, com respectivamente 554 e 275 servidores contaminados nos dois países, o Brasil aparece na 10ª posição entre os mais atingidos. Em todo o mundo, pelo menos até a manhã desta sexta-feira, eram 1,7 mil infraestruturas comprometidas pelos criminosos.

Os números aparecem em buscas da ferramenta Shodan, que faz pesquisas sobre servidores ativos em todo o mundo. A mesma plataforma também exibe um total de mais de 7,7 mil dispositivos VMware ESXi ativados no Brasil, mas não permite saber exatamente qual a parcela destes que estão suscetíveis a uma brecha de segurança corrigida originalmente em 2021.

Foi a partir dela que se iniciaram os ataques ESXiArgs, que são lançados de forma automatizada e massiva contra servidores conectados à internet, o que explica porque os números aumentam a cada hora. A falha rastreada como CVBE-2021-21974 permite a execução remota de códigos a partir de uma porta aberta na rede, sem nenhum tipo de autenticação, o que leva à detonação de ransomware e ao travamento de arquivos.

Sistemas comprometidos pela primeira versão da praga, entretanto, podem ser recuperados a partir de um desencriptador liberado em meados desta semana pela Agência de Infraestrutura e Cibersegurança do governo dos EUA (CISA, na sigla em inglês), que também alerta para o risco de perda total dos arquivos devido à reinfecção e à suposta existência de uma segunda variante do ESXiArgs, que seria imune ao método de liberação usado pelo software.

A recomendação geral é de atualização imediata dos servidores VMware ESXi ou a desconexão de infraestruturas em organizações em que isso não for possível, pelo menos até o esfriamento da onda de ataques. A estimativa é que 12% das máquinas do tipo conectadas estejam vulneráveis, com os especialistas esperando que os números de comprometimento continuem a crescer.

Fonte: in_cyber