A extorsão baseia-se na alavancagem. Quanto maior a alavancagem, maior a propensão da vítima de abrir seus cofres e pagar o resgate. Inicialmente, os ataques de ransomware focavam em bloquear o acesso aos dados críticos de uma organização, criptografando-os. Esse modelo simples, porém eficaz, tinha uma fraqueza chave: um sistema de backup robusto poderia restaurar os arquivos criptografados. Essa vulnerabilidade levou os atacantes a direcionar os sistemas de backup das vítimas em ataques preventivos, obrigando as empresas a adotarem novas melhores práticas para proteger seus backups.

A Evolução das Táticas de Ransomware

E assim, o jogo de xadrez segue de um lado para o outro, à medida que atacantes e defensores disputam posições entre si. As organizações de ransomware logo evoluíram suas táticas ao extrair dados antes de criptografá-los, usando a ameaça de divulgação pública como um método secundário de extorsão caso as vítimas consigam restaurar seus dados.
Recentemente, os atacantes de ransomware descobriram mais um método para aumentar sua alavancagem. Eles estão mirando em ambientes de servidores virtuais. Considere o quão dependentes as empresas são de máquinas virtuais para hospedar componentes críticos, como controladores de domínio, DNS, armazenamento de arquivos e aplicativos. Comprometendo o ambiente virtual, os atacantes podem paralisar tanto os sistemas quanto os dados que eles contêm em um único movimento, intensificando ainda mais a pressão sobre as organizações afetadas para atenderem às suas exigências.

Compreendendo a Vulnerabilidade dos Ambientes VMware

Se sua organização é como a maioria hoje, a maioria de seus servidores é virtual. Há uma boa chance de que essas máquinas executem em uma plataforma VMware, já que mais de 80% das cargas de trabalho virtualizadas são executadas em plataformas VMware, de acordo com o gigante de hipervisores virtuais. Isso significa que os atacantes de ransomware buscarão seu ambiente de máquinas virtuais para criptografar seus repositórios de dados. Se você possui um ambiente VMware, eles buscarão desativar seu servidor vCenter, bem como os servidores ESXi abrangentes. Se seu ambiente de máquinas virtuais estiver fora de operação, provavelmente seu servidor de backup também estará.

A Recuperação do VMware é Complexa

Você conhece as senhas principais de seus servidores ESX? Você conhecerá se o seu vCenter não estiver mais acessível, razão pela qual gangues de ransomware o visam. Você possui todas as configurações de IP e outras configurações de VMware documentadas? Você tem alguém na equipe com a habilidade para restaurar seu ambiente VMware do zero, se necessário? Muitas empresas dependem de pessoal externo para a expertise em VMware. Recuperar um ambiente VMware envolve mais complexidade do que simplesmente restaurar o armazenamento de arquivos a partir de backups. Essa complexidade pode prolongar significativamente o cronograma de recuperação e aumentar os custos associados.
Abordando as Vulnerabilidades do VMware
Em fevereiro de 2023, o FBI emitiu um aviso revelando que aproximadamente 3.800 servidores host VMware em todo o mundo haviam sido comprometidos. A pergunta que surge é: como os criminosos cibernéticos conseguiram infiltrar tantos desses servidores? A resposta está em uma tática comum usada em servidores, computadores, sistemas operacionais e dispositivos IoT. Eles exploram vulnerabilidades conhecidas, razão pela qual a priorização de correções orientada pela segurança é tão crítica. Uma parte significativa desses ataques visou duas vulnerabilidades: CVE-2021-21974 e CVE-2020-3992. Ambas permitem a execução remota de código, mas a CVE-2020-3992 é especialmente crítica, pois pode permitir que os atacantes obtenham controle total sobre o servidor host.
Grupos de ransomware renomados estão escaneando ativamente hosts VMware ESXi vulneráveis a essas explorações, enquanto algumas cepas de ransomware são especialmente desenvolvidas para ambientes VMware. Um exemplo disso é uma variante de Ransomware-as-a-Service (RaaS) chamada Nevada, que opera em um modelo de comissão distribuída entre afiliados. Isso destaca o fato de que o ransomware é uma indústria lucrativa nos cantos mais obscuros da internet.

Como Proteger Sua Infraestrutura VMware

Com seu ambiente virtual tão vulnerável a ataques ativos de ransomware, é imperativo ter uma estratégia para protegê-lo contra esses ataques. Como explica Eden Naggel, líder da equipe de DFIR da CYREBRO: “Organizações com serviços de virtualização no local, como o VMware ESXi, devem garantir que o acesso ao console seja segregado da rede, permitindo acesso apenas a partir de hosts específicos. Isso é feito para evitar que os atacantes obtenham fácil acesso ao ambiente de virtualização, o que poderia resultar na criptografia completa dos discos dos servidores, sem a necessidade de obter uma base de software direta neles. E, é claro, não posso enfatizar o suficiente a importância de garantir que o firmware esteja atualizado e seja suportado por senhas complexas que são trocadas com frequência.”
Alguns dos passos recomendados de forma mais detalhada incluem:

1. Atualizações e Correções
Apesar de sua simplicidade, a aplicação de correções e atualizações continua sendo negligenciada nos sistemas de TI. A aplicação regular de correções em vulnerabilidades conhecidas reduz drasticamente o risco de exploração por parte dos atacantes, pois esses criminosos cibernéticos geralmente miram sistemas com fraquezas não corrigidas, buscando o caminho de menor resistência. Atualizações consistentes não apenas fecham as lacunas de segurança, mas também aprimoram seu sistema com as últimas funcionalidades e melhorias. A gestão proativa de correções é essencial para proteger seu ambiente VMware contra os métodos em constante evolução dos atacantes de ransomware. Naturalmente, a priorização de correções deve ser praticada para todos.
2. Restringir Acesso à Internet
Embora os ataques internos sejam uma ameaça viável, a maioria dos ataques de ransomware é realizada de fora do perímetro. Um sistema que é acessível pela Internet torna-se acessível a atores de ameaças externos. A menos que haja uma razão convincente em contrário, seus servidores host virtuais devem ter acesso limitado à Internet, disponível apenas para administradores de servidor para tarefas específicas, como atualizações e correções. Para máquinas virtuais que hospedam aplicativos web ou outros recursos necessários para usuários da Internet, é crucial aplicar o princípio do menor privilégio para garantir uma proteção robusta. Essa abordagem de acesso seletivo minimiza os pontos de entrada potenciais para ataques cibernéticos.
3. Usar Contas Locais, Senhas Fortes e MFA
O uso de contas de domínio do Active Directory (AD) para gerenciar servidores host VMware, embora conveniente, apresenta riscos mais altos, pois essas contas são amplamente utilizadas e mais propensas a compromissos. A melhor prática de segurança recomenda o uso de contas locais VMware, que devem ser protegidas por senhas preferencialmente com 12 caracteres ou mais e seguir requisitos rigorosos de complexidade. Claro, senhas por si só nunca devem ser a única linha de defesa. Reforce a proteção por senha com autenticação de vários fatores (MFA), adicionando uma camada adicional de segurança contra acesso não autorizado.
4. Monitoramento Completo 24/7
As redes modernas são complexas e expansivas, oferecendo inúmeras áreas ocultas onde atores de ameaças e malware podem se esconder sem serem detectados. Você precisa de visibilidade em cada faceta de sua rede empresarial, razão pela qual o monitoramento contínuo de 24/7 é uma estratégia crucial no combate ao ransomware. Isso envolve escanear continuamente a rede em busca de atividades suspeitas, como movimentação incomum de dados, possíveis portas dos fundos ou tentativas repetidas de login, que podem indicar um ataque de ransomware em andamento. Com o custo da recuperação de ransomware tão alto, a detecção precoce é fundamental. O monitoramento contínuo também ajuda a reconhecer padrões que poderiam indicar um ataque iminente, permitindo ações preventivas. Além disso, garante que patches de segurança e atualizações sejam aplicados prontamente, fechando vulnerabilidades que o ransomware poderia explorar. Essa vigilância proativa cria uma defesa robusta contra as táticas em constante evolução dos atacantes de ransomware. Lembre-se, mesmo as ferramentas de segurança mais avançadas são eficazes apenas como o sistema de monitoramento que alerta sobre o que está acontecendo dentro de sua rede.

Conclusão
As empresas priorizam a produtividade, e com razão. Manter essa produtividade em meio a inúmeras ameaças às operações de rede requer uma estratégia robusta de cibersegurança. Isso é especialmente relevante para ambientes de servidores virtuais. Independentemente da pilha tecnológica que você utiliza, inevitavelmente existem vulnerabilidades que exigem práticas rigorosas de segurança para proteção. Entre essas práticas, o monitoramento vigilante destaca-se como um componente crítico. É o meio mais eficaz para obter insights em tempo real sobre as atividades dentro do seu ambiente tecnológico, garantindo que as ameaças sejam identificadas e abordadas prontamente para proteger a continuidade operacional.