A Semana do Ransomware - 5 de abril de 2024 - Máquinas Virtuais Sob Ataque.
- Sexta, 5th Abril, 2024
- 19:03pm
Os ataques de ransomware direcionados ao VMware ESXi e outras plataformas de máquinas virtuais estão causando estragos nas empresas, causando interrupções generalizadas e perda de serviços.
A enorme interrupção de TI da Panera no mês passado, que derrubou sistemas internos, o site, aplicativos móveis e telefones, foi causada por um ataque de ransomware que criptografou as máquinas virtuais da empresa.
Embora a empresa tenha conseguido restaurar servidores a partir de backups, demorou quase uma semana para que seus sistemas fossem restaurados.
Da mesma forma, a Omni Hotels sofreu uma grande interrupção , que derrubou o sistema de reservas, os telefones e o sistema de fechadura da porta da empresa. A interrupção foi tão grave que os hóspedes tiveram que entrar em contato com um funcionário do hotel para entrar em seus quartos, pois os cartões-chave não funcionavam.
Omni Hotels confirmou alguns dias depois que sofreu um ataque cibernético , com o BleepingComputer descobrindo que se tratava mais uma vez de um ataque de ransomware criptografando as máquinas virtuais da empresa. O BleepingComputer foi informado de que o Omni também está restaurando a partir de backups.
Esta semana, o provedor de hospedagem chileno IxMetro Powerhost também divulgou um ataque de ransomware em que os agentes da ameaça criptografaram os servidores VMware ESXI da empresa de hospedagem. Esses servidores alimentavam os servidores virtuais privados (VPS) dos clientes, também derrubando seus sites.
Infelizmente, eles não tiveram tanta sorte quanto os hotéis Panera e Omni, já que os agentes da ameaça também criptografaram os backups da empresa. Os atores da ameaça por trás desse ataque, conhecidos como SEXi, exigiram dois bitcoins por cliente para receber um descriptografador.
Embora as plataformas de máquinas virtuais, como o VMware ESXi, facilitem muito o gerenciamento de recursos e servidores pelas empresas, elas também se tornaram um alvo muito tentador para gangues de ransomware.
Como os servidores de uma empresa agora estão localizados centralmente como máquinas virtuais, os agentes de ameaças podem simplesmente criptografar um único servidor VMware para causar interrupções massivas nas operações de uma empresa.
Os administradores devem reforçar a segurança em suas plataformas de máquinas virtuais aplicando as atualizações de segurança mais recentes ao software VM e aos sistemas operacionais host, usando credenciais administrativas diferentes daquelas do domínio do Windows e aplicando controles de acesso mais rígidos.
Hoje, o CSIRT do governo chileno emitiu um alerta alertando a empresa para atualizar o software VMware para as versões mais recentes e ofereceu conselhos sobre segurança de servidores.
Embora os invasores que visam máquinas virtuais não sejam novidade , os ataques desta semana continuam a mostrar que são sistemas de TI críticos que precisam ser devidamente protegidos para evitar interrupções desastrosas.
Colaboradores e aqueles que forneceram novas informações e histórias sobre ransomware esta semana incluem: @fwosar , @LawrenceAbrams , @billtoulas , @BleepinComputer , @serghei , @Ionut_Ilascu , @Seifreed , @malwrhunterteam , @demonslay335 , @1ZRR4H , @BushidoToken , @pcrisk , @JakubKroustek , @AJVicens , @TrendMicro , @AlexMartin , @jgreigj , @TheDFIRReport , @SonicWall e @CSIRTGOB .
1º de abril de 2024
Varejista de iates MarineMax divulga violação de dados após ataque cibernético
A MarineMax, que se autodenomina um dos maiores varejistas de barcos e iates de recreio do mundo, diz que os invasores roubaram dados de funcionários e clientes após violarem seus sistemas em um ataque cibernético em março.
Do OneNote ao RansomNote: uma intrusão gelada
Esta intrusão começou no final de fevereiro de 2023 e durou até o final de março de 2023. O ator da ameaça inicialmente obteve acesso por meio de uma campanha de phishing, na qual distribuía e-mails contendo anexos maliciosos do OneNote. Durante esse período, a popularidade dos arquivos do OneNote cresceu entre os corretores de acesso inicial. Este aumento deveu-se principalmente à sua capacidade de contornar as regras de bloqueio de anexos de e-mail e evitar a detecção pelos mecanismos de segurança existentes.
2 de abril de 2024
Omni Hotels enfrentando interrupção de TI em todo o país desde sexta-feira
Omni Hotels & Resorts está passando por uma interrupção em toda a rede que derrubou seus sistemas de TI na sexta-feira, impactando as reservas, a fechadura das portas dos quartos do hotel e os sistemas de ponto de venda (POS).
Nova variante do GlobeImposter
O PCrisk encontrou uma nova variante do GlobeImposter que anexa a extensão .schrodingercat e descarta uma nota de resgate chamada how_to_back_files.html .
3 de abril de 2024
Condado de Jackson em estado de emergência após ataque de ransomware
O condado de Jackson, Missouri, está em estado de emergência depois que um ataque de ransomware derrubou alguns serviços do condado na terça-feira.
Servidores VMware ESXi da empresa de hospedagem atingidos pelo novo ransomware SEXi
O data center e provedor de hospedagem chileno IxMetro Powerhost sofreu um ataque cibernético nas mãos de uma nova gangue de ransomware conhecida como SEXi, que criptografou os servidores e backups VMware ESXi da empresa.
Omni Hotels confirma ataque cibernético por trás da interrupção contínua de TI
Omni Hotels & Resorts confirmou que um ataque cibernético causou uma interrupção de TI em todo o país que ainda está afetando suas localizações.
Revelando as consequências: o impacto da operação Cronos no LockBit após a interrupção do marco histórico
Nosso novo artigo fornece os principais destaques e conclusões da interrupção das operações da LockBit pela Operação Cronos, bem como detalhes de telemetria sobre como os atores da LockBit operaram após a interrupção.
Operador Chaos Ransomware desiste de ferramenta de descriptografia gratuitamente
A equipe de pesquisa de ameaças do SonicWall CaptureLabs rastreou recentemente ransomware criado usando o construtor de ransomware Chaos. O construtor apareceu em junho de 2021 e tem sido usado por muitos operadores para infectar vítimas e exigir pagamento pela recuperação de arquivos. A amostra que analisamos levou-nos a uma conversa com o operador que cedeu livremente o programa desencriptador.
Novas variantes do ransomware STOP
PCrisk encontrou novas variantes de ransomware STOP que acrescentam as extensões .uazq e .uajs .
4 de abril de 2024
Câmara Municipal de Leicester confirma ataque de ransomware após vazamento de documentos confidenciais
A Câmara Municipal de Leicester, na Inglaterra, confirmou que o incidente cibernético do mês passado foi um ataque de ransomware depois de ser informado de que os criminosos por trás do incidente haviam carregado documentos roubados em seu site de extorsão na dark web.
Novo ransomware ‘Desconhecido’
PCrisk encontrou um novo ransomware baseado no código-fonte vazado de Babuk que anexa o .unkno e descarta uma nota de resgate chamada RESTORE_YOUR_FILES.txt .
Nova variante do ransomware Chaos
O PCrisk encontrou uma nova variante do ransomware Chaos que descarta uma nota de resgate LEIA-ME.txt e anexa uma extensão aleatória.
‘Um ataque à reputação de Palau’: autoridades questionam quem realmente estava por trás do incidente de ransomware
Eles rapidamente descobriram duas notas de resgate separadas: uma em uma folha de papel na impressora da gangue de ransomware LockBit e outra em um arquivo de texto README colocado ao lado dos documentos criptografados de Palau da gangue de ransomware DragonForce.
5 de abril de 2024
Interrupção de TI de uma semana da Panera Bread causada por ataque de ransomware
A recente interrupção de uma semana da Panera Bread foi causada por um ataque de ransomware, de acordo com pessoas familiarizadas com o assunto e e-mails vistos pelo BleepingComputer.
ALPHV intensifica lavagem de pagamentos de resgate da Change Healthcare
Seis semanas após a execução de um ataque que paralisou partes do sistema de saúde dos EUA, a gangue do crime cibernético ligada ao incidente acelerou o ritmo de lavagem dos rendimentos de um suposto pagamento de resgate, mesmo que os hackers implicados na violação continuem a manter um discreto.
Nova variante Makop
PCrisk encontrou uma nova variante Makop que acrescenta a extensão .datah .
Nova variante de ransomware
O PCrisk encontrou um novo ransomware python que anexa a extensão .rincrypt e descarta uma nota de resgate chamada READ THIS.txt .
Nova variante do ransomware STOP
Jakub Kroustek encontrou uma nova variante do ransomware STOP que anexa a extensão .kaaa .
Nova variante do ransomware Dharma
Jakub Kroustek encontrou uma nova variante do Dharma que acrescenta a extensão .hunt.
Fonte: bleepingcomputer.com
