FBI alerta sobre ataques de ransomware que miram servidores VPNRansomware contra servidores Linux aumentou 75% em 2022
De acordo com os especialistas da Juniper Networks, que revelaram a ameaça, os criminosos responsáveis pelo comprometimento teriam usado falhas localizadas em 2019 e 2020. A CVE-2019-5544 e CVE-2020-3992 atingem um sistema chamado OpenSLP, um serviço de código aberto para localização e configuração de plataformas conectadas à rede. As duas aberturas já foram corrigidas pela VMware, mas como a descoberta mostrou, ainda estão sendo usadas por cibercriminosos. O vetor de comprometimento da rede, entretanto, não pôde ser verificado, uma vez que os logs foram insuficientes; por outro lado, para a Juniper Networks, ficaram claras as intenções de estabelecer permanência na rede e realizar ataques direcionados aos servidores de virtualização. A backdoor é capaz de reescrever arquivos que permanecem intactos até mesmo durante reinicializações da máquina. Executada junto a outros sistemas durante o boot do servidor, a praga permite o recebimento de comandos criptografados, enviados assim pelos criminosos de forma a dificultar a detecção. O resultado é a execução de códigos maliciosos nas máquinas comprometidas e a realização de diferentes tipos de ataques; as indicações são de uma campanha em fase de preparação, já que mais comprometimentos não foram detectados. A Juniper Networks aponta, ainda, que a praga em si é multiplataforma, sendo capaz de agir contra sistemas Unix e Linux. Entretanto, existem linhas de código que citam especificamente recursos dos servidores VMware ESXi, deixando clara que esta é uma operação direcionada, com um malware criado de forma específica para essa plataforma. A empresa de cibersegurança divulgou indicadores de comprometimento e detalhes técnicos que ajudam a detectar eventuais comprometimentos. Além disso, a recomendação é de atualização em todos os servidores e o uso de sistemas de monitoramento de conexões e alterações em arquivos, principalmente aqueles executados durante a reinicialização das máquinas; apenas conexões remotas confiáveis devem ser permitidas, de forma a impedir, também, novos comprometimentos remotos. Fonte: Juniper Networks