
A coleção de móveis antigos de um casal ganhou um giro legal em sua nova casa em San Francisco
Mar 06, 2023Os planos mostram a Sims Furniture em Covington para obter uma nova vida como escritórios
Mar 08, 2023RH England: RH se expandiu oficialmente no exterior
Mar 10, 2023Gabinete dado até sexta-feira para esclarecer posição de redação do WhatsApp de Johnson
Mar 12, 2023O presidente Biden anuncia a ex-prefeita de Atlanta, Keisha Lance Bottoms, como consultora sênior de engajamento público
Mar 14, 2023Vários grupos de ransomware adaptam o código Babuk para segmentar VMs ESXi
No ano passado, 10 famílias diferentes de ransomware utilizaram o código-fonte vazado do Babuk para desenvolver lockers para hipervisores VMware ESXi.
Hipervisores são programas usados para executar várias máquinas virtuais (VMs) em um único servidor. Ao direcionar o ESXi, os hackers podem infectar várias VMs em um ambiente corporativo mais diretamente do que por meios convencionais.
Alguns dos ransomwares ESXi baseados em Babuk estão associados a grandes agentes de ameaças, como Conti e REvil. E de acordo com Alex Delamotte, pesquisador sênior de ameaças do SentinelOne, a maioria deles foi utilizada em ataques do mundo real nos últimos meses.
"Parece que é um modelo eficaz", diz Delamotte, que publicou a nova pesquisa esta semana. "Enquanto eles permanecerem lucrativos, os hackers continuarão usando esses armários. E parece que eles funcionam."
Babuk era uma oferta popular, embora imperfeita, de ransomware como serviço (RaaS), que circulou pela primeira vez no início de 2021.
Em setembro de 2021, seu modelo de negócios foi interrompido quando um dos criadores originais teve um momento de ajuste de contas. “Um dos desenvolvedores do grupo de ransomware Babuk, um jovem de 17 anos da Rússia, foi diagnosticado com câncer de pulmão em estágio 4”, escreveu vx-underground, um repositório de código-fonte de malware, em um tweet. "Ele decidiu vazar TODO o código-fonte do Babuk para Windows, ESXI, NAS."
Desde então, os agentes de ameaças têm usado as várias ferramentas vazadas do Babuk como base para criar novas cargas maliciosas.
Por exemplo, em seu relatório publicado em 4 de maio, os pesquisadores do Sentinel Labs identificaram sobreposições significativas entre o criador de ransomware Babuk ESXi e dez outras famílias de ransomware: Cylance, Dataf Locker, Lock4, Mario, Play, Rorschach, RTM Locker, XVGV, RHKRC — intimamente associado ao armário Revix do grupo REvil - e "Conti POC" - uma prova de conceito do notório e agora extinto grupo de ransomware.
Delamotte diz que Mario, Rorschach, XVGV e Conti POC já foram utilizados em ataques, e usuários em fóruns de Bleeping Computer relataram ter sido vítimas de Dataf Locker e Lock4.
O VMware ESXi, um hipervisor "bare metal", não usa nenhum sistema operacional como buffer ("bare metal"), em vez disso, faz interface diretamente com o hardware lógico. Ele é instalado diretamente em um servidor físico com acesso irrestrito e controle sobre os recursos subjacentes da máquina.
Tudo isso é o que torna o ESXi uma plataforma poderosa para administradores de TI e, da mesma forma, hackers. Os agentes mal-intencionados podem ter como objetivo atingir várias VMs em execução em um único servidor virtual, utilizando “ferramentas integradas para o hipervisor ESXi para matar máquinas convidadas e, em seguida, criptografar arquivos cruciais do hipervisor”, explicou Delamotte no relatório.
As empresas que executam o ESXi da VMware precisam ser cautelosas, embora a correção seja direta.
"O mais importante é garantir que qualquer acesso - especialmente acesso de gerenciamento, a algo como um hipervisor ESXi - seja muito limitado", aconselha Delamotte. "Você deseja ter bons controles de acesso baseados em função e, definitivamente, MFA sempre que possível em qualquer conta de serviço."
Controles de acesso rígidos e eficazes devem ser suficientes para isolar os vulneráveis. "Realmente não vejo nenhuma situação", diz ela, "em que alguém possa passar para esse tipo de servidor sem ter privilégios de administrador".

