Novo ransomware programado em Python mira máquinas virtuais

A Sophos, empresa focada em pesquisas e soluções de cibersegurança, divulgou detalhes de um novo ransomware escrito em Python, usado pelos invasores para comprometer e criptografar máquinas virtuais hospedadas em um hipervisor ESXi. 

• Maior banco privado do Equador fica parado devido a ataque de ransomware
• Novo golpe virtual exige resgate para a não divulgação pública de dados roubados
• Extorsão ganha destaque como crime digital e Brasil está entre mais atingidos

Segundo o relatório, “Python Ransomware Script tem como alvo servidores ESXi para criptografia”, esse novo vetor de sequestro virtual (ransomware) consegue em menos de três horas progredir da invasão até à criptografia dos arquivos.

O servidor ESXi, e hipervisores em geral, são softwares, firmwares ou hardwares que permitem a criação e execução de máquinas virtuais (VM, na sigla em inglês), com o computador executando as VMs sendo considerado o host, ou máquina hospedeira, e as VMs sendo o guest, ou máquinas convidadas. Essas ferramentas são usadas por empresas principalmente por possibilitarem uma maior mobilidade de TI, já que as VMs convidadas são independentes do computador hospedeiro, podendo ser facilmente movidas entre diferentes servidores da companhia.

Segundo Andrew Brandt, pesquisador da Sophos, este novo ransomware é um dos mais rápidos já analisados pela empresa. Brandt explica o porquê deste malware ser tão efetivo. “Python é uma linguagem de codificação pouco usada para ransomware. No entanto, é pré-instalado em sistemas baseados em Linux, como ESXi, e isso torna possíveis ataques baseados em Python nestes sistemas. Os servidores ESXi representam um alvo atraente para os cibercriminosos porque podem atacar várias máquinas virtuais ao mesmo tempo, onde cada uma delas pode estar executando aplicativos ou serviços essenciais aos negócios. Os ataques aos hipervisores podem ser rápidos e altamente perturbadores. Operadores de ransomware, incluindo DarkSide e REvil, têm como alvo os servidores ESXi em seus ataques”, completa.

O ataque analisado pela Sophos começou às 12h30 de um domingo, quando os operadores do ransomware invadiram uma conta do TeamViewer logada a partir de um computador pertencente a um usuário que tinha credenciais de acesso de administrador do domínio alvo dos criminosos. Cerca de 10 minutos depois, os golpistas usaram a ferramenta Advanced IP Scanner para procurar outros computadores na rede.

Os investigadores da Sophos acreditam que o ESXi Server na rede era vulnerável porque tinha um Shell ativo, uma interface de programação que as equipes de TI usam para comandos e atualizações; assim permitindo que os criminosos instalassem uma ferramenta de comunicação de rede segura chamada Bitvise na máquina do administrador do domínio, o que lhes deu acesso remoto ao sistema ESXi e todos os seus dados, incluindo os arquivos do disco virtual usados por máquinas virtuais. Por volta das 15h40, o ransomware foi implantado e os discos rígidos virtuais hospedados no servidor ESXi foram criptografados.

Como se proteger

Andre Brandt afirma que os administradores de sistemas ESXi ou outros hipervisores devem seguir todas as práticas de segurança recomendadas pelos provedores das ferramentas, como o uso de senhas fortes e exclusivas e de autenticação de multiplos-fatores sempre que possível. Além disso, Brandt afirma que o ESXi Shell deve ser desabilitado sempre que ninguém estiver o usando para manutenção de rotina, por exemplo, durante a instalação de patches.

Para ajudar na defesa contra ransomware e ataques cibernéticos relacionados, a Sophos recomenda ainda as seguintes práticas:

• Implantar proteção em camadas: À medida que mais ataques de ransomware começam a envolver extorsão, os backups continuam necessários, mas insuficientes. Em primeiro lugar, o mais importante é manter os cibercriminosos fora ou detectá-los rapidamente, antes que causem danos. Por isso, é fundamental usar uma proteção em camadas para bloquear e detectar invasores em todos os pontos possíveis;
• Combinar especialistas humanos e tecnologia anti-ransomware: A chave para parar o ransomware é a defesa em profundidade que combina tecnologia anti-ransomware dedicada e busca de ameaças liderada por humanos. A tecnologia fornece a escala e a automação de que uma organização precisa, enquanto os especialistas humanos são mais capazes de detectar as táticas, técnicas e procedimentos que indicam que um invasor está tentando entrar no ambiente. Se as organizações não tiverem as habilidades internas, elas podem obter o apoio de especialistas em segurança cibernética;
• Monitorar e responder aos alertas: É essencial certificar-se de que as ferramentas, processos e recursos (pessoas) apropriados estejam disponíveis para monitorar, investigar e responder às ameaças vistas no ambiente. Os atacantes de ransomware muitas vezes cronometram o ataque fora do horário de pico, nos fins de semana ou durante os feriados, supondo que poucas pessoas ou ninguém esteja observando;
• Definir e aplicar senhas fortes: As senhas fortes servem como uma das primeiras linhas de defesa. As senhas devem ser exclusivas ou complexas e nunca reutilizadas. Isso é mais fácil de fazer com um gerenciador de senhas que pode armazenar as credenciais da equipe;
• Usar a autenticação de múltiplos fatores (MFA): Mesmo as senhas fortes podem ser comprometidas. Qualquer forma de autenticação multifator é melhor do que nenhuma para proteger o acesso a recursos críticos, como e-mail, ferramentas de gerenciamento remoto e ativos de rede;
• Bloquear os serviços acessíveis: É fundamental realizar varreduras de rede e identificar e bloquear as portas comumente usadas por VNC, RDP ou outras ferramentas de acesso remoto. Se uma máquina precisa ser alcançada usando uma ferramenta de gerenciamento remoto, é importante colocar a ferramenta atrás de uma VPN ou solução de acesso à rede de confiança zero que usa autenticação multifator como parte do login;
• Segmentação prática e confiança zero: É indispensável separar os servidores críticos uns dos outros e das estações de trabalho, colocando-os em VLANs separadas enquanto se trabalha em direção a um modelo de rede de confiança zero;
• Fazer backups offline de informações e aplicativos: Manter os backups atualizados, além de ter uma cópia offline, garante sua capacidade de recuperação;
• Fazer um inventário de ativos e contas. Dispositivos desconhecidos, desprotegidos e sem patch na rede aumentam o risco e criam uma situação em que atividades maliciosas podem passar despercebidas. É vital ter um inventário atual de todas as instâncias de computação conectadas. Por isso, é necessário realizar varreduras de rede, ferramentas IaaS e verificações físicas para localizar e catalogar e instalar software de proteção de endpoint em qualquer máquina que não tenha proteção;
• Certificar-se de que os produtos de segurança estejam configurados corretamente: Sistemas e dispositivos desprotegidos também são vulneráveis. É importante garantir que as soluções de segurança sejam configuradas corretamente e, quando necessário, validar e atualizar as políticas de segurança regularmente. Novos recursos de segurança nem sempre são ativados automaticamente, por isso é extremamente importante não desativar a proteção contra adulteração ou criar amplas exclusões de detecção, pois isso tornará o trabalho de um invasor mais fácil;
• Auditoria do Active Directory (AD): A Active Directory é uma base de dados que compila as informações de todos os usuários da rede corporativa. Realizar auditorias regulares em todas as contas no AD garante que nenhuma delas tenha mais acesso do que o necessário. Além disso, é extremamente recomendado desativar contas para funcionários que estão saindo da empresa;
• Manter todos os sistemas atualizados: Atualize sempre que possível o Windows e outros sistemas operacionais. Isso também significa verificar se os patches foram instalados corretamente e se estão em vigor para sistemas críticos, como máquinas voltadas para a Internet ou controladores de domínio.