Ransomware está sendo distribuído usando uma falha conhecida do VMware
o que é Ransomware
O ransomware foi adicionado ao arsenal de agentes de ameaças que exploram uma vulnerabilidade no VMware Workspace One Access.
A Fortinet, que acompanhou a mudança nos ataques em agosto deste ano, divulgou um relatório detalhando uma nova falha no produto da VMware: uma vulnerabilidade de execução remota de código causada por injeção de modelo no servidor.
A vulnerabilidade, identificada como CVE-2022-22954, foi explorada pelo conhecido agente de ameaças APT35 (também conhecido como Rocket Kitten) muito rapidamente após ser descoberta. EnemyBot se juntou à multidão cerca de um mês depois. A vulnerabilidade foi explorada por vários agentes de ameaças, que a usaram para lançar ataques DDoS usando o botnet Mira e mineração de criptomoeda usando o GuardMiner.
O RAR1Ransom chegou.
A Fortinet viu recentemente essa vulnerabilidade ser usada, desta vez pela ferramenta RAR1Ransom. De acordo com o BleepingComputer, trata-se de uma “ferramenta de ransomware simples” que usa o WinRAR de forma inadequada para criptografar e compactar os arquivos da vítima. Depois disso, todos os arquivos protegidos terão a.rar1 anexado a eles. Pagar 2 XMR (aproximadamente $ 290 na época) obtém a senha da vítima.
É importante notar que este ransomware não criptografa arquivos; em vez disso, ele simplesmente os bloqueia em um arquivo protegido por senha.
A Fortinet também confirmou que o endereço XMR usado pelo GuardMiner é o mesmo que as vítimas devem usar para fazer pagamentos.
Meses depois que a VMware corrigiu a vulnerabilidade de execução remota de código, algumas organizações ainda não atualizaram seus endpoints, deixando-os abertos a uma ampla variedade de ataques. Ele corrigiu o problema em abril junto com algumas outras vulnerabilidades e alertou seus usuários para não confiarem na correção temporária fornecida:
Embora as soluções alternativas sejam mais simples do que aplicar um patch, a empresa alertou que elas não corrigem o problema subjacente. Embora seja você quem decide entre aplicar o patch e usar a solução alternativa, a VMware sempre recomenda a aplicação do patch como a solução mais rápida e descomplicada.