Falha corrigida em 2021 leva ao maior ataque de ransomware dos últimos anos

Uma brecha de segurança corrigida em 2021 foi o vetor da maior onda de ataques de ransomware registrada nos últimos anos. Registrada no último final de semana, entre os dias 4 e 5 de fevereiro, os golpes massivos atingiram servidores VMware ESXi, usados em tarefas de monitoramento e virtualização de sistemas, com dúzias de organizações em pelo menos cinco países sendo comprometidas.

• VMware lista falhas críticas que podem afetar dezenas de órgãos e empresas
• Quatro medidas urgentes para aumentar a segurança de sua empresa

De acordo com relatório divulgado pela Check Point Research, divisão de inteligência em ameaças da empresa de cibersegurança, seriam pelo menos 1,9 mil servidores comprometidos em todo o mundo até esta segunda-feira (06). França, Itália, Canadá, Finlândia e Estados Unidos estão na lista de territórios atingidos pela campanha, que também motivou alertas individuais e conjuntos de agências destes países sobre a necessidade de atualização urgente das infraestruturas.

A onda também tem mais um recorde para chamar de sua, sendo considerada o maior ataque de ransomware a atingir máquinas que não rodam o sistema operacional Windows. “Os atacantes perceberam como os servidores Linux são cruciais para os sistemas de instituições e organizações. Isso certamente os levou a investir no desenvolvimento de uma arma cibernética poderosa e sofisticada”, explica Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil.

A brecha em questão é a CVE-2021-21974, que permitiria a execução remota de códigos maliciosos a partir de uma porta aberta na rede, sem nenhum tipo de verificação de identidade e autenticação. A nova onda de ataques parece ser automatizada, com tentativas de intrusão simultâneas em dezenas de máquinas, que mais tarde podem ser travadas em golpes de ransomware.

A Check Point chamou a atenção, ainda, para a ampla presença de dispositivos das provedoras OVH e Hetzner, empresas que fornecem máquinas amplamente customizáveis que podem ser usadas para instalação do VMware ESXi; segundo o alerta de segurança, muitos destes aparelhos são instalados e conectados à rede sem atualizações ou medidas de proteção, o que acaba os tornando uma porta de entrada para ataques desse tipo.

O governo francês alegou ter sido o primeiro a detectar a onda de ataques, com relatórios posteriores sendo publicados por outras agências governamentais. Todos indicam a necessidade urgente de atualização dos servidores VMware ESXi, um coro engrossado por comunicado da própria fornecedora sobre o caso.

A Check Point destaca ainda o risco de comprometimentos generalizados, já que as infraestruturas, além de poderem ser contaminadas diretamente, também podem levar a intrusões contra outros sistemas de terceiros que estejam rodando nelas de forma virtualizada. Forma-se, assim, uma espécie de efeito cascata que pode tornar o impacto da onda de ataques ainda mais devastador.

Atualização de servidores VMware ESXI e outras medidas são urgentes

De acordo com a fornecedora do software de virtualização, a campanha de golpes segue em andamento e deve fazer mais vítimas. O pedido, em todos os casos, é da aplicação imediata de patches de correção e medidas de manutenção de servidores, assim como monitoramento para garantir que uma intrusão já não tenha ocorrido enquanto os servidores deixam de estar suscetíveis à vulnerabilidade.

Como medidas de segurança, além da aplicação da atualização, a VMware sugere a desativação de serviços de acesso remoto de forma que apenas IPs confiáveis possam acessar os dispositivos. Além disso, outras recomendações envolvem a realização de backups em sistemas separados e o monitoramento de redes em busca de comportamento malicioso que possa levar a ataques cibercriminosos.