
Como funciona o Malware de Ransomware EsxiArgs, suas consequências e como pode ser prevenido
O EsxiArgs é uma ameaça cada vez mais comum nos ambientes que utilizam virtualização baseada em VMware. Essa ameaça é um tipo de malware que se propaga através de servidores de virtualização ESXi vulneráveis, permitindo que os invasores tenham acesso aos dados e recursos da rede. Essa vulnerabilidade foi descoberta em 2021 e foi mapeada como CVE-2021-21974. No entanto, essa ameaça voltou com força total em fevereiro de 2023.
As consequências do EsxiArgs podem ser desastrosas para as empresas e organizações que dependem de servidores de virtualização. A infecção pode permitir que invasores tenham acesso não autorizado aos dados confidenciais da empresa, como informações de clientes e dados financeiros. Além disso, os invasores podem usar os recursos da rede para executar ataques DDoS, comprometer outras máquinas virtuais ou mesmo roubar informações de outras máquinas virtuais na mesma rede.
A maior ameaça relacionada ao ESXiArgs é o seu recurso de infecção por Ransomware. Essa vulnerabilidade atinge versões do ESXi anteriores à 6.7 e criptografa arquivos com as extensões .vmxf, .vmx, .vmdk, .vmsd e .nvram, criando um arquivo com extensão .args para cada arquivo criptografado. Isso significa que o Ransomware criptografa todas as virtual machines dos servidores atacados, deixando-os totalmente comprometidos.
Mais de 3400 servidores foram atingidos em todo o mundo, com destaque para a França, Estados Unidos, Alemanha, Canadá e Reino Unido.
Medidas preventivas
Existem várias medidas que as empresas e organizações podem tomar para prevenir o EsxiArgs. Aqui estão algumas das principais estratégias de prevenção:
Mantenha o ESXi atualizado
A VMware publica regularmente atualizações de segurança para o ESXi para corrigir vulnerabilidades conhecidas. Ao manter o seu ambiente de virtualização atualizado com as últimas atualizações de segurança, você pode minimizar a possibilidade de que os invasores explorem vulnerabilidades conhecidas para infectar seu ambiente com o EsxiArgs. Existem atualizações de segurança disponíveis desde o final de 2021.
Limite o acesso aos servidores ESXi
Um dos principais vetores de ataque do EsxiArgs é a exploração de credenciais de acesso comprometidas. Nos ataques relatados em 2023, a principal vulnerabilidade foi a exploração de fraquezas no SERVICE LOCATION PROTOCOL (SLP). Para minimizar o risco de que invasores usem credenciais de acesso comprometidas para infectar seu ambiente, você pode limitar o acesso aos servidores ESXi. Isso pode incluir coisas como restringir o acesso a usuários autorizados e usar autenticação multifator sempre que possível.
Use antivírus e firewall
Embora a proteção antivírus não seja garantida contra o EsxiArgs, é importante usar uma solução antivírus em todas as máquinas virtuais para minimizar o risco de infecção. Da mesma forma, é importante ter um firewall ativo e configurado corretamente para restringir o tráfego de rede não autorizado e proteger contra ataques DDoS.
Faça backups regulares
Embora a prevenção seja importante, é impossível garantir que seu ambiente de virtualização nunca será infectado pelo EsxiArgs. Portanto, é importante ter backups regulares para que você possa recuperar seus dados e máquinas virtuais em caso de infecção. Certifique-se de testar seus backups regularmente para garantir que eles sejam confiáveis e possam ser restaurados com sucesso em caso de emergência.
Mantenha sua equipe treinada e atualizada
O EsxiArgs e outras ameaças de segurança estão sempre evoluindo. É importante que sua equipe de TI esteja ciente das últimas ameaças e saiba como se proteger contra elas. Certifique-se de fornecer treinamento regular em segurança cibernética para sua equipe de TI, incluindo informações sobre as últimas ameaças e melhores práticas de segurança.
Garanta a segurança dos dados da sua empresa com a CECyber
Podemos concluir que o EsxiArgs é uma ameaça séria para os ambientes de virtualização baseados em VMware. No entanto, com as medidas corretas de prevenção, é possível minimizar o risco de infecção.
Na CECyber você encontra diversos cursos focados na segurança da informação, ideais para deixar sua equipe apta para prevenir ataques e garantir a segurança de sites e ambientes virtuais. Confira tudo que temos para oferecer para sua empresa!