{"id":17224,"date":"2021-03-30T18:35:28","date_gmt":"2021-03-30T21:35:28","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=17224"},"modified":"2021-03-30T19:18:19","modified_gmt":"2021-03-30T22:18:19","slug":"ransomware-in-virtual-environment","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-in-virtual-environment\/17224\/","title":{"rendered":"Ransomware em um ambiente virtual"},"content":{"rendered":"

Embora reduza significativamente alguns riscos de amea\u00e7as cibern\u00e9ticas, a virtualiza\u00e7\u00e3o n\u00e3o \u00e9 mais milagrosa do que qualquer outra pr\u00e1tica. Um ataque de ransomware ainda pode atingir a infraestrutura virtual, como o portal ZDNet<\/a> relatou recentemente, por exemplo, por meio de vers\u00f5es vulner\u00e1veis do VMware ESXi.<\/p>\n

Usar m\u00e1quinas virtuais \u00e9 uma pr\u00e1tica segura. Por exemplo, o uso de uma VM (virtual machine) pode atenuar os danos de uma infec\u00e7\u00e3o se a m\u00e1quina virtual n\u00e3o contiver dados confidenciais. Mesmo se o usu\u00e1rio acidentalmente ativar um Trojan em uma m\u00e1quina virtual, a simples montagem de uma nova imagem da m\u00e1quina virtual reverte todas as altera\u00e7\u00f5es maliciosas.<\/p>\n

No entanto, o RansomExx<\/a> visa especificamente vulnerabilidades no VMware ESXi para atacar discos r\u00edgidos virtuais. O grupo Darkside usa o mesmo m\u00e9todo, e os criadores do cavalo de Tr\u00f3ia BabukLocker sugerem<\/a> ser capazes de criptografar o ESXi.<\/p>\n

Quais s\u00e3o as vulnerabilidades?<\/h2>\n

O hipervisor VMware ESXi permite que v\u00e1rias m\u00e1quinas virtuais armazenem informa\u00e7\u00f5es em um \u00fanico servidor por meio de Open SLP (Service Layer Protocol), que pode, entre outras coisas, detectar dispositivos de rede sem pr\u00e9-configura\u00e7\u00e3o. As duas vulnerabilidades em quest\u00e3o s\u00e3o CVE-2019-5544<\/a> e CVE-2020-3992<\/a>, ambas antigas e, portanto, n\u00e3o s\u00e3o novidades para os cibercriminosos. O primeiro \u00e9 usado para realizar ataques do tipo heap overflow<\/a> e o segundo \u00e9 do tipo Use-After-Free<\/a> \u2013 ou seja, relacionado ao uso incorreto de mem\u00f3ria din\u00e2mica durante a opera\u00e7\u00e3o.<\/p>\n

Ambas as vulnerabilidades foram solucionadas h\u00e1 algum tempo (a primeira em 2019, a segunda em 2020), mas em 2021, os criminosos ainda est\u00e3o realizando ataques bem-sucedidos por meio delas. Como de costume, isso significa que algumas organiza\u00e7\u00f5es n\u00e3o atualizaram seus softwares.<\/p>\n

Como malfeitores exploram vulnerabilidades ESXi<\/h2>\n

Os invasores podem usar as vulnerabilidades para gerar solicita\u00e7\u00f5es SLP maliciosas e comprometer o armazenamento de dados. Para criptografar as informa\u00e7\u00f5es, eles precisam primeiro, \u00e9 claro, penetrar na rede e l\u00e1 permanecerem. Isso n\u00e3o \u00e9 um grande problema, especialmente se a m\u00e1quina virtual n\u00e3o estiver executando uma solu\u00e7\u00e3o de seguran\u00e7a.<\/p>\n

Para entrar no sistema, os operadores RansomExx podem, por exemplo, usar a vulnerabilidade Zerologon<\/a> (no protocolo remoto Netlogon). Ou seja, eles enganam o usu\u00e1rio para que ele execute um c\u00f3digo malicioso na m\u00e1quina virtual, depois assumem o comando do controlador do Active Directory e s\u00f3 ent\u00e3o criptografam o armazenamento, deixando uma mensagem de resgate.<\/p>\n

A prop\u00f3sito, a Zerologon n\u00e3o \u00e9 a \u00fanica, mas \u00e9 uma das op\u00e7\u00f5es mais perigosas porque sua explora\u00e7\u00e3o \u00e9 quase imposs\u00edvel de detectar sem servi\u00e7os especiais<\/a>.<\/p>\n

Como se manter protegido de ataques a MSXI<\/h2>\n