Threats
Um grupo de cibercriminosos tem explorado SSH tunneling em hypervisors VMware ESXi para manter acesso persistente às redes de empresas e implementar ransomware
29/01/2025
|
Com o objetivo de garantir o acesso indetetável às redes das empresas, onde podem furtar dados e a cifrar arquivos, os agentes de ransomware têm adotado novas estratégias para comprometer sistemas empresariais, com destaque para o uso de SSH tunneling em hypervisors VMware ESXi, de forma a causar prejuízos. De acordo com a Sygnia, estes dispositivos, importantes em ambientes de virtualização, permitem que várias máquinas virtuais operem num único servidor físico, o que os torna um alvo privilegiado de cibercriminosos. Os cibercriminosos exploram falhas conhecidas ou credenciais de administrador comprometidas para obter acesso aos dispositivos ESXi. Uma vez conseguido o acesso, utilizam o serviço SSH integrado para configurar túneis, permitindo que os invasores se movam lateralmente pela rede e instalem ransomware. A falta de monitorização ativa do SSH nas organizações contribui para que esses ataques passem despercebidos. O SSH tunneling é uma técnica simples, mas eficaz, que pode ser facilmente configurada com o comando adequado. Os cibercriminosos utilizam a remote port-forwarding para estabelecer uma conexão com o servidor de comando e controlo (C2), criando um backdoor persistente na rede da empresa. Segundo a Sygnia, como os dispositivos ESXi têm alta resiliência e raramente são desligados inesperadamente, este método oferece uma porta de entrada semi-persistente para os atacantes. Outro desafio identificado pela Sygnia no combate a este tipo de ataque é a dificuldade em monitorizar os logs de ESXi. A empresa explica que, ao contrário de outros sistemas, os logs do ESXi são distribuídos em vários arquivos específicos, tornando a deteção de atividades maliciosas mais difícil. Para ajudar na deteção de ataques, é recomendado que os administradores verifiquem diversos arquivos de log, incluindo o /var/log/shell.log e /var/log/auth.log. Para dar resposta, a Sygnia sugere que as organizações adotem práticas de segurança mais rigorosas, como a centralização dos logs do ESXi e a integração desses dados num sistema de monitorização de segurança (SIEM). Este tipo de abordagem pode ajudar a detetar anomalias e prevenir que os cibercriminosos utilizem SSH tunneling para prolongar os ataques. |
Receba todas as novidades na sua caixa de correio!
PODCAST
A Evolução da Regulamentação de Cibersegurança no mais recente episódio do IT Security Watch
NEWS
Comissão Europeia anuncia plano para reforçar cibersegurança no setor da saúde
THREATS
Cibercriminosos utilizam SSH tunneling para aceder ao VMware ESXi
NEWS
Microsoft lança correção temporária para falha no Outlook
THREATS
Microsoft Teams explorado por cibercriminosos para roubar dados
THREATS
CISA indica que vulnerabilidade antiga está a ser utilizada por cibergrupos chineses
THREATS
Oracle corrige cerca de 200 vulnerabilidades em janeiro
THREATS
IA generativa e kits de malware aumentam eficiência de ciberataques
THREATS
Microsoft Teams explorado por cibercriminosos para roubar dados
THREATS
Maioria das redes empresariais europeias foi atacada em 2024
