{"id":21162,"date":"2023-04-27T15:10:50","date_gmt":"2023-04-27T18:10:50","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21162"},"modified":"2023-04-27T15:10:50","modified_gmt":"2023-04-27T18:10:50","slug":"linux-vmware-esxi-ransomware-attacks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/linux-vmware-esxi-ransomware-attacks\/21162\/","title":{"rendered":"Os sistemas de virtualiza\u00e7\u00e3o e servidores Linux est\u00e3o sendo atacados"},"content":{"rendered":"<p>Voc\u00ea sabe que ransomware \u00e9 uma amea\u00e7a, mas como fortalecer suas defesas? Em outras palavras \u2013 o que deve ser protegido em primeiro lugar? Frequentemente, as esta\u00e7\u00f5es de trabalho Windows, os servidores Active Directory e os outros produtos da Microsoft s\u00e3o os primeiros candidatos. E essa abordagem geralmente \u00e9 justificada. Mas devemos ter em mente que as t\u00e1ticas cibercriminosas est\u00e3o em constante evolu\u00e7\u00e3o e ferramentas maliciosas est\u00e3o sendo <a href=\"https:\/\/securelist.com\/new-ransomware-trends-in-2022\/106457\/\" target=\"_blank\" rel=\"noopener\">desenvolvidas para servidores Linux<\/a> e sistemas de virtualiza\u00e7\u00e3o. Em 2022, o n\u00famero total de ataques a sistemas Linux <a href=\"https:\/\/www.zdnet.com\/article\/linux-devices-increasingly-under-attack-from-hackers-warn-security-researchers\/\" target=\"_blank\" rel=\"noopener nofollow\">aumentou cerca de 75%<\/a>.<\/p>\n<p>A motiva\u00e7\u00e3o por tr\u00e1s desses ataques \u00e9 clara: o c\u00f3digo aberto e da virtualiza\u00e7\u00e3o est\u00e3o cada vez mais populares, o que significa que h\u00e1 cada vez mais servidores usando Linux ou VMWare ESXi. Eles geralmente armazenam muitas informa\u00e7\u00f5es cr\u00edticas que, se criptografadas, podem prejudicar instantaneamente as opera\u00e7\u00f5es de uma empresa. E como a seguran\u00e7a dos sistemas Windows tem sido tradicionalmente o foco de aten\u00e7\u00e3o, os servidores n\u00e3o-Windows est\u00e3o provando ser alvos f\u00e1ceis.<\/p>\n<h2>Ataques em 2022-2023<\/h2>\n<ul>\n<li>Em fevereiro de 2023, muitos propriet\u00e1rios de servidores VMware ESXi foram atingidos pelo surto de <a href=\"https:\/\/t.me\/kasperskyb2b\/448\" target=\"_blank\" rel=\"noopener nofollow\">ransomware ESXiArgs<\/a>. Explorando a vulnerabilidade CVE-2021-21974, os invasores desativaram m\u00e1quinas virtuais e criptografaram arquivos .vmxf, .vmx, .vmdk, .vmsd e .nvram.<\/li>\n<li>O infame grupo Clop, conhecido pelo <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/clop-ransomware-claims-it-breached-130-orgs-using-goanywhere-zero-day\/\" target=\"_blank\" rel=\"noopener nofollow\">ataque em larga escala<\/a> direcionado aos servi\u00e7os \u200b\u200bde transfer\u00eancia de arquivos Fortra GoAnywhere devido \u00e0 vulnerabilidade <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-0669\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2023-0669<\/a>, foi detectado em dezembro de 2022 usando (embora de forma limitada) uma vers\u00e3o Linux de seu ransomware. Ele difere significativamente de sua vers\u00e3o do Windows (faltam algumas otimiza\u00e7\u00f5es e t\u00e9cnicas defensivas), mas \u00e9 adaptado para permiss\u00f5es e tipos de usu\u00e1rios do Linux e visa <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/clop-ransomware-flaw-allowed-linux-victims-to-recover-files-for-months\/\" target=\"_blank\" rel=\"noopener nofollow\">especificamente pastas de banco de dados Oracle<\/a>.<\/li>\n<li>Uma nova vers\u00e3o do <a href=\"https:\/\/securelist.com\/luna-black-basta-ransomware\/106950\/\" target=\"_blank\" rel=\"noopener\">ransomware BlackBasta<\/a> foi projetada especialmente para ataques a hipervisores ESXi. O esquema de criptografia usa o algoritmo ChaCha20 no modo multithread com a utiliza\u00e7\u00e3o de v\u00e1rios processadores. Como as fazendas de servidores ESXi s\u00e3o tipicamente multiprocessadores, esse algoritmo minimiza o tempo necess\u00e1rio para criptografar todo o ambiente.<\/li>\n<li>Pouco antes de sua separa\u00e7\u00e3o, o grupo de hackers Conti tamb\u00e9m se armou com um ransomware que tem como alvo o ESXi. Infelizmente, como grande parte do c\u00f3digo de Conti vazou, suas cria\u00e7\u00f5es est\u00e3o dispon\u00edveis para uma ampla gama de cibercriminosos.<\/li>\n<li>O ransomware BlackCat, escrito em Rust, tamb\u00e9m pode desabilitar e excluir m\u00e1quinas virtuais ESXi. Em outros aspectos, o c\u00f3digo malicioso difere pouco da vers\u00e3o do Windows.<\/li>\n<li>O <a href=\"https:\/\/www.kaspersky.com.br\/blog\/luna-blackbasta-ransomware\/19765\/\" target=\"_blank\" rel=\"noopener\">ransomware Luna<\/a>, que detectamos em 2022, era multiplataforma, capaz de rodar em sistemas Windows, Linux e ESXi. E, claro, o grupo <a href=\"https:\/\/www.zdnet.com\/article\/this-sneaky-ransomware-is-now-targeting-linux-servers-too\/\" target=\"_blank\" rel=\"noopener nofollow\">LockBit<\/a> dificilmente ignoraria a tend\u00eancia: eles tamb\u00e9m come\u00e7aram a oferecer vers\u00f5es ESXi do malware para seus associados.<\/li>\n<li>Quanto aos ataques mais antigos (mas, infelizmente, eficazes), tamb\u00e9m houve as campanhas RansomEXX e QNAPCrypt, que <a href=\"https:\/\/www.kaspersky.com\/blog\/linux-security-hybrid-cloud\/41259\/\" target=\"_blank\" rel=\"noopener nofollow\">atingiram os servidores Linux<\/a> em grande escala.<\/li>\n<\/ul>\n<h2>T\u00e1ticas para atacar os servidores<\/h2>\n<p>O acesso aos servidores Linux geralmente se baseia na explora\u00e7\u00e3o de vulnerabilidades. Os invasores podem armar vulnerabilidades no sistema operacional, servidores da web e outros aplicativos b\u00e1sicos, bem como em aplicativos de neg\u00f3cios, bancos de dados e sistemas de virtualiza\u00e7\u00e3o. Conforme <a href=\"https:\/\/www.kaspersky.com.br\/blog\/log4shell-critical-vulnerability-in-apache-log4j\/18633\/\" target=\"_blank\" rel=\"noopener\">demonstrado no ano passado pela Log4Shell<\/a>, vulnerabilidades em componentes de c\u00f3digo aberto requerem aten\u00e7\u00e3o especial. Ap\u00f3s uma viola\u00e7\u00e3o inicial, muitos tipos de ransomware usam truques ou vulnerabilidades adicionais para elevar privil\u00e9gios e criptografar o sistema.<\/p>\n<h2>\u00a0Prote\u00e7\u00f5es priorit\u00e1rias para servidores Linux<\/h2>\n<p>Para minimizar as chances de ataques que afetam os servidores Linux, recomendamos:<\/p>\n<ul>\n<li>Corre\u00e7\u00e3o imediata de vulnerabilidades<\/li>\n<li>Minimiza\u00e7\u00e3o do n\u00famero de portas e conex\u00f5es abertas \u00e0 internet<\/li>\n<li>Implementa\u00e7\u00e3o de <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/cloud-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">ferramentas de seguran\u00e7a especializadas<\/a> nos servidores, para proteger o pr\u00f3prio sistema operacional, bem como m\u00e1quinas virtuais e cont\u00eaineres hospedados no servidor. <a href=\"https:\/\/www.kaspersky.com\/blog\/linux-security-hybrid-cloud\/41259\/\" target=\"_blank\" rel=\"noopener nofollow\">Leia mais sobre a prote\u00e7\u00e3o do Linux neste post dedicado ao assunto<\/a>.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"19472\">\n","protected":false},"excerpt":{"rendered":"<p>Os sistemas baseados em Linux e ESXi s\u00e3o cada vez mais v\u00edtimas de ataques de ransomware. Ent\u00e3o, como proteger seus servidores?<\/p>\n","protected":false},"author":2581,"featured_media":21163,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[218,3144,350,83,77,1727],"class_list":{"0":"post-21162","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-ameacas","10":"tag-esxi","11":"tag-linux","12":"tag-ransomware","13":"tag-tecnologia","14":"tag-vmware"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/linux-vmware-esxi-ransomware-attacks\/21162\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/linux-vmware-esxi-ransomware-attacks\/25554\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/20973\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/28180\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/linux-vmware-esxi-ransomware-attacks\/25849\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/26242\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/linux-vmware-esxi-ransomware-attacks\/28727\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/linux-vmware-esxi-ransomware-attacks\/35166\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/47988\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/linux-vmware-esxi-ransomware-attacks\/20481\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/linux-vmware-esxi-ransomware-attacks\/30054\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/linux-vmware-esxi-ransomware-attacks\/33801\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/linux-vmware-esxi-ransomware-attacks\/26170\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/linux-vmware-esxi-ransomware-attacks\/31858\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/linux-vmware-esxi-ransomware-attacks\/31542\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21162","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=21162"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21162\/revisions"}],"predecessor-version":[{"id":21165,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21162\/revisions\/21165"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/21163"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=21162"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=21162"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=21162"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}