Cibersegurança: Ataques cibernéticos pelo Ransomware ESXiArgs podem chegar ao Brasil

Os ataques de Ransomware estão cada vez mais presentes e direcionados. Entre os motivos apontados por especialistas está a falta de preparo das empresas para barrar esse tipo de ameaça. Um exemplo recente aconteceu no início de fevereiro de 2023, após diversas Agências de Segurança da Informação relatarem a ocorrência de ataques cibernéticos pelo Ransomware ESXiArgs em milhares de servidores do modelo ESXi da VMware em empresas na Europa e na América do Norte. O objetivo desses ataques foi explorar uma vulnerabilidade de software presente nos sistemas desatualizados.

O Brasil não está nem de longe imune a esse tipo de ataque e aparece em quarto lugar no ranking dos cinco países mais afetados pelo problema, segundo dados da Accenture, que revelam que 47% dos ataques ocorreram em organizações instaladas nos EUA, seguidos pela Itália (8%), Austrália (8%), Brasil (6%) e Alemanha (6%). 

Leia mais: Empresas Investem Na Presença De Mulheres No Mercado De Tecnologia

No Brasil, o problema tem sido acompanhado de perto por Bruno Giordano, Chief Information Security Officer (CISO) da Ativy Digital, especialista em soluções e serviços de cibersegurança, localizada em Campinas (SP). Ele explica que a companhia está alerta e tem feito o monitoramento e adotado medidas de prevenção, que podem servir como base para outras empresas. Bruno alerta que o mesmo pode acontecer em pouco tempo no Brasil, “justamente pelo fato de que diversas empresas que utilizam o sistema de virtualização onde aconteceu o ataque não possuírem um nível de maturidade de segurança cibernética elevada, tornando o sistema exposto para a internet, sem nenhum tipo de bloqueio ou restrição de acesso”, afirma.

O especialista explica como está sendo feito o monitoramento pela Ativy Digital e quais seriam as medidas de segurança que as empresas em geral devem se atentar. “É importante destacar primeiro como monitoramos o surgimento dessa nova variante. Identificamos todo o processo de execução, comportamento, principais características e quais os métodos necessários para o bloqueio do processo de execução. Essa é uma das principais etapas para permanecermos um passo à frente dos agentes maliciosos”, diz Bruno. 

Na companhia, o monitoramento é feito por meio do serviço de Threat Intelligence (Inteligência de Ameaça) executado pela Business Unit (BU) de cybersecurity da Ativy Digital, que contempla um monitoramento em nível global, permitindo a identificação de novas anomalias que apresentam um risco para a operação de Cloud e seus clientes. E assim como o divulgado pelas agências internacionais, graças a ele a equipe também identificou o comportamento do ataque cibernético em diversos países pelo Ransomware ESXiArgs, nos servidores VMware ESXi, que é o sistema de virtualização utilizado por diversas empresas, sem correção de uma vulnerabilidade de execução remota de código. 

Medidas de segurança 

A partir da identificação, como medida preditiva e preventiva, foram executadas diversas ações, começando pela comunicação do ocorrido. O time de Cyber notificou os principais gestores da operação, detalhando os riscos, o entendimento sobre a nova variante e todos os pontos necessários para mitigar todos os riscos, assim como blindar os clientes, evitando qualquer tipo de contágio com a nova variante.

“Tudo que envolve a tratativa de uma nova variante necessita de foco em seu comportamento e exige a identificação das principais ações e alvos. Nesse caso, a nova variante tinha como foco arquivos de máquinas virtuais (ex.: arquivos com extensões .vmdk, .vmx, .vmxf e outros do mesmo segmento de arquivos), criptografando todos os arquivos e automaticamente causando uma interrupção, sem recuperação, em toda a operação de virtualização”, relata Bruno. 

Leia mais: Tecnologias Beneficiam Empresas Com As Mudanças Na EFD-Reinf

Identificado o foco da ameaça, o próximo passo foi descobrir quais seriam os vetores de ataque e seus métodos de exploração para compartilhar esse conhecimento por meio de ações preventivas para os demais times. “Após o compartilhamento das ações, aguardamos a confirmação do time de infra para nos informar nas horas seguintes o impacto e a janela de execução para desabilitarmos o serviço OpenSLP em todos os ambientes Saas e IaaS”, relata o especialista em cibersegurança.

Na sequência, a equipe enviou um comunicado aos clientes reforçando que o serviço OpenSLP, no qual estaria a principal causa da vulnerabilidade explorada pela variante, estava desabilitado em todos os ambientes Saas e IaaS. As camadas adicionais de segurança habilitadas foram: a segregação dos ambientes; administração dos hosts ESXi somente através do Sphere Client com múltiplo fator de autenticação (MFA) habilitado com acesso limitado somente através de VPN; habilitação de todos os recursos de auditoria para gestão dos acessos e ações executadas no ESXi.

“Além das ações adotadas, reforçamos a importância de sempre ter todas as atualizações de segurança em todos os ambientes e serviços em sua última versão recomendada pelos próprios fabricantes”, reforça Bruno. Também foi desenvolvido um Playbook, que contempla ações e recomendações diárias para evitar qualquer tipo de contágio com novas e futuras variantes do Ransomware. Tais ações envolvem planos como:

- Execução de treinamentos de conscientização; 

- Ações preventivas e de forma antecipada para redução das superfícies de ataque;

- Governança para gestão em contas com privilégios administrativos;

- Implantação e desenvolvimento de mecanismos de antecipação;

- Atualização e aplicação do Plano de Respostas a Incidentes;

- Atualização e aplicação do Plano de Recuperação.

Toda a segurança deve ser prioridade nas empresas, sendo assim, Bruno reforça que, além dos cuidados citados, é preciso fazer mais diariamente. “As organizações precisam ser proativas ao proteger seus sistemas contra qualquer tipo de ameaça e outros ataques. E isso inclui adotar estruturas de segurança, gestão e sustentação através de um Centro de Operações de Segurança”, finaliza.

Sobre a Ativy Digital

Referência em soluções em nuvem na América Latina e especialista em cloud computing, cibersegurança e Managed Service Provider (MSP), a Ativy Digital — spin-off da Ativy desde 2020 — é a primeira multinacional brasileira de cloud computing. 

São mais de 30 mil usuários gerenciados, centenas de parceiros (VARs) e uma alavancagem expressiva, de mais de 300%, na América Latina desde a inauguração da unidade de negócios no México, com foco no ecossistema SAP® Business One.

Leia mais: Data Analytics Continua Em Alta No Mercado De Tecnologia

Sobre a Ativy

A Ativy, com sede em Campinas/SP, é a primeira one-stop shop de transformação digital do Brasil. Como um ecossistema de tecnologia, o grupo reúne empresas e startups disruptivas que entregam soluções de gestão, produtividade e crédito a empresas de todos os portes e segmentos.

Atualmente, são mais de 30 mil usuários gerenciados nas plataformas integradas em nuvem e cerca de 400 colaboradores diretamente envolvidos na operação — que, nos últimos dois anos, cresceu acima dos dois dígitos na América Latina.

Em outubro de 2022, seu braço Ativy Digital captou 120 milhões de reais para expansão dos negócios no Brasil, em países da América Latina e nos Estados Unidos.