Mais de 500 hosts foram recentemente comprometidos em massa pela cepa de ransomware ESXiArgs, a maioria dos quais está localizada na França, Alemanha, Holanda, Reino Unido e Ucrânia.
As descobertas vêm da empresa de gerenciamento de superfície de ataque Censys, que descobriu “dois hosts com notas de resgate notavelmente semelhantes que datam de meados de outubro de 2022, logo após as versões 6.5 e 6.7 do ESXi atingirem o fim da vida”.
O primeiro conjunto de infecções remonta a 12 de outubro de 2022, muito antes de quando a campanha começou a ganhar força no início de fevereiro de 2023.
Então, em 31 de janeiro de 2023, as notas de resgate dos dois hosts teriam sido atualizadas. com uma versão revisada que coincide com as usadas na onda atual.
O desenvolvimento ocorre menos de uma semana depois que os agentes de ameaças retornaram com uma nova variante que ajusta o método de criptografia e a nota de resgate após o lançamento de um descriptografador para ajudar a recuperar sistemas infectados.
Desde então, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) afirmou que os invasores “provavelmente têm como alvo servidores ESXi em fim de vida ou servidores ESXi que não possuem os patches de software ESXi disponíveis aplicados”.
Segundo Andrew Martinez, CEO da Empresa HackerSec, “o impacto dos ataques cibernéticos em empresas de todos os tamanhos é amplo, desde a perda de dados confidenciais, prejuízos financeiros, danos à reputação e operações interrompidas.”
“É importante que os administradores instalem os patches de segurança o quanto antes para diminuir o risco de um possível ataque. Essa exploração é resultado da baixa cultura em cibersegurança que muitas empresas ainda possuem . Atualizações de segurança faz parte de uma política básica em qualquer empresa,” completa Andrew Martinez.
