Milhares de servidores em nuvem alvos ​​do grupo Nevada

Os invasores visam uma vulnerabilidade fácil de corrigir em um pequeno trecho de código, comumente encontrado em servidores em nuvem.

A ambiciosa campanha do hacker

Segundo o relatório , o grupo visa comprometer mais de 5.000 vítimas nos EUA e na Europa.

• A maioria das entidades visadas está usando produtos VMware hospedados nos serviços de hospedagem de baixo custo oferecidos pelo provedor de nuvem europeu OVHcloud. Esses produtos VMware, implantados em servidores bare-metal, não receberam patches por vários anos.
• As entidades visadas incluem fabricantes na Alemanha, universidades nos Estados Unidos e na Hungria e grupos de transporte e construção na Itália.
• Cerca de 4.468 vítimas em potencial foram identificadas na França, Estados Unidos, Alemanha e Reino Unido. Destas, a nação mais impactada é a França, com mais de 2.000 vítimas.

Notas de resgate publicamente visíveis

• Os hackers pedem dois Bitcoins (cerca de US$ 50.000), uma quantia de resgate relativamente pequena em comparação com grupos proeminentes de ransomware.
• Outra característica peculiar desses ataques é que os invasores deixam as notas de resgate visíveis publicamente, incluindo seus endereços de carteira Bitcoin, possibilitando o rastreamento das transações.

Origem dos hackers

Os ataques começaram há cerca de três semanas e, com base nos anúncios de novos recrutamentos na Internet, acredita-se que a maioria dos membros do Grupo Nevada seja da Rússia e da China.

aviso CISA

Uma semana após o início dos ataques, a CISA lançou uma solução simples para anular o ataque, permitindo que algumas das vítimas recuperassem seus dados. No entanto, poucas horas após o lançamento da solução alternativa, os invasores modificaram seu malware e começaram a usá-lo para atingir centenas de vítimas.

Notas finais

Em meio a grandes campanhas de ataque de ransomware, ataques de pequeno porte e métodos de ataque simples tendem a passar despercebidos. Os pesquisadores temem que a simplicidade do ataque possa levar mais invasores imitadores a seguir as etapas. A CISA mencionou ainda que está trabalhando em parcerias públicas e privadas para avaliar o impacto desses ataques e ajudar as vítimas se e quando necessário.