Nova variante do ransomware ESXiArgs surge depois que a CISA lança a ferramenta de descriptografia
13 de fevereiro de 2023Depois que a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) lançou um decodificador para as vítimas afetadas se recuperarem dos ataques de ransomware ESXiArgs , os agentes de ameaças se recuperaram com uma versão atualizada que criptografa mais dados.
O surgimento da nova variante foi relatado por um administrador do sistema em um fórum online, onde outro participante afirmou que arquivos maiores que 128MB terão 50% de seus dados criptografados, tornando o processo de recuperação mais desafiador.
Outra mudança notável é a remoção do endereço Bitcoin da nota de resgate, com os invasores agora instando as vítimas a contatá-los no Tox para obter as informações da carteira.
Os atores da ameaça “perceberam que os pesquisadores estavam rastreando seus pagamentos e podem até saber antes de lançar o ransomware que o processo de criptografia na variante original era relativamente fácil de contornar”, disse o Censys em um artigo.
“Em outras palavras: eles estão assistindo.”
As estatísticas compartilhadas pela plataforma de crowdsourcing Ransomwhere revelam que até 1.252 servidores foram infectados pela nova versão do ESXiArgs em 9 de fevereiro de 2023, dos quais 1.168 são reinfecções.
Desde o início do surto de ransomware no início de fevereiro, mais de 3.800 hosts únicos foram comprometidos. A maioria das infecções está localizada na França, EUA, Alemanha, Canadá, Reino Unido, Holanda, Finlândia, Turquia, Polônia e Taiwan.
O ESXiArgs, assim como o Cheerscrypt e o PrideLocker , é baseado no armário Babuk, que teve seu código-fonte vazado em setembro de 2021. Mas um aspecto crucial que o diferencia de outras famílias de ransomware é a ausência de um site de vazamento de dados, indicando que não está sendo executado em um modelo de ransomware como serviço ( RaaS ).
“Os resgates são fixados em pouco mais de dois bitcoins (US$ 47.000) e as vítimas têm três dias para pagar”, disse a empresa de segurança cibernética Intel471 .
Embora inicialmente se suspeitasse que as invasões envolviam o abuso de um bug OpenSLP de dois anos, agora corrigido no VMware ESXi (CVE-2021-21974), foram relatados comprometimentos em dispositivos com o protocolo de descoberta de rede desativado.
Desde então, a VMware disse que não encontrou evidências que sugiram que uma vulnerabilidade de dia zero em seu software esteja sendo usada para propagar o ransomware.
Isso indica que os agentes de ameaças por trás da atividade podem estar aproveitando várias vulnerabilidades conhecidas no ESXi a seu favor, tornando imperativo que os usuários ajam rapidamente para atualizar para a versão mais recente. Os ataques ainda não foram atribuídos a um ator ou grupo de ameaças conhecido.
“Com base na nota de resgate, a campanha está vinculada a um único ator ou grupo de ameaças”, apontou Arctic Wolf . “Grupos de ransomware mais estabelecidos normalmente conduzem OSINT em vítimas em potencial antes de realizar uma invasão e definem o pagamento do resgate com base no valor percebido”.
A empresa de segurança cibernética Rapid7 disse que encontrou 18.581 servidores ESXi voltados para a Internet que são vulneráveis ao CVE-2021-21974, acrescentando que observou ainda atores do RansomExx2 visando servidores ESXi suscetíveis de maneira oportunista.
“Embora o impacto em dólares dessa violação em particular possa parecer baixo, os ciberataques continuam a atormentar as organizações com mil cortes”, disse Tony Lauro, diretor de tecnologia e estratégia de segurança da Akamai.
“O ransomware ESXiArgs é um excelente exemplo de por que os administradores de sistema precisam implementar patches rapidamente após serem lançados, bem como os comprimentos que os invasores farão para tornar seus ataques bem-sucedidos. No entanto, o patch é apenas uma linha de defesa para dependem.”
Fonte: The Hack News
Ransomware continua sendo um dos tipos de ataques preferidos por cibercriminosos
Como não pagar resgate de ransomware?
O especialista em segurança Reinaldo Borges dá 8 dicas pra você não ser vítima de ataques hackers
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.
Crypto ID é o maior canal sobre criptografia no Brasil!
O QUE É CRIPTOGRAFIA?
A criptografia protege a segurança pessoal de bilhões de pessoas e a segurança nacional de países ao redor do mundo.
A criptografia de ponta-a-ponta (end-to-end encryption ou E2EE) é um recurso de segurança que protege os dados durante a troca de mensagens, de forma que o conteúdo só possa ser acessado pelos dois extremos da comunicação: o remetente e o destinatário.
Criptografia Simétrica utiliza uma chave única para cifrar e decifrar a mensagem. Nesse caso o segredo é compartilhado.
Criptografia Assimétrica utiliza um par de chaves: uma chave pública e outra privada que se relacionam por meio de um algoritmo. O que for criptografado pelo conjunto dessas duas chaves só é decriptografado quando ocorre novamente o match.
Criptografia Quântica utiliza algumas características fundamentais da física quântica as quais asseguram o sigilo das informações e soluciona a questão da Distribuição de Chaves Quânticas – Quantum Key Distribution.
Criptografia Homomórfica refere-se a uma classe de métodos de criptografia imaginados por Rivest, Adleman e Dertouzos já em 1978 e construída pela primeira vez por Craig Gentry em 2009. A criptografia homomórfica difere dos métodos de criptografia típicos porque permite a computação para ser executado diretamente em dados criptografados sem exigir acesso a uma chave secreta. O resultado de tal cálculo permanece na forma criptografada e pode, posteriormente, ser revelado pelo proprietário da chave secreta.