Foi identificado diversos ataques em diversos países pelo ransomware até então denominado como Ransomware ESXiArgs, o qual está com foco total nos servidores VMware ESXi sem correção de uma vulnerabilidade de execução remota de código publicada há mais de dois anos.
A CVE explorada é a CVE-2021-21974, a falha de segurança é causada por um estou de heap no serviço OpenSLP.
Foi comprovado que esta CVE atinge os seguintes sistemas:
Versões ESXi 7.x anteriores a ESXi70U1c-17325551
Versões ESXi 6.7.x anteiores a ESXi670-202102401-SG
Versões ESXi 6.5.x anteriores a ESXi650-202102101-SG
Diversos países já foram vítimas, e com toda a certeza empresas brasileiras serão alvo.
Como título de consulta, até o momento 646 servidores já foram infectados e atingidos pelo ransomware em todo o mundo de acordo com a pesquisa que pode ser realizada via Shodan.
html:”We hacked your company successfully” title:”How to Restore Your Files”
Além disto, foi publicado uma análise relacionado ao referido ransomware por um administrador que conseguiu recuperar uma cópia do artefato do Ransomware e do shell script, compartilhando pelo pesquisador do ID Ransomware.
O ransomware criptografa arquivos com as extensões: .vmxf, .vmx, .vmdk, .vmsd e .nvram em servidores ESXi comprometidos e cria um arquivo.args para cada documento criptografado.
A análise do ransomware está disponível no site da Bleeping: https://lnkd.in/dp_4AKuG
Há um total de 4 arquivos instalados ou modificados neste ataque:
/etc/rc.local.d/local.sh: armazenado na RAM, mas as alterações são copiadas e restauradas na reinicialização
/bin/hostd-probe.sh: as alterações são armazenadas na RAM e reaplicadas após uma reinicialização
/store/packages/vmtools.py: salvo nos armazenamentos de disco permanente usados para imagens de disco VM, logs, etc.
/etc/vmware/rhttpproxy/endpoints.conf: as alterações são armazenadas na RAM e reaplicadas após uma reinicialização
Mitigação
- Aplique todos os patches de fornecedores o mais rápido possível.
- Restrinja as conexões de rede recebidas a hosts confiáveis.
- Verifique o conteúdo e/ou existência dos quatro arquivos detalhados acima. Por padrão, local.sh deve conter apenas comentários e uma instrução de saída.