* Três novas famílias de ransomware atacam sistemas Windows.
Pesquisadores encontraram recentemente três novas famílias de ransomware – Vohuk, ScareCrow e AESRT. O Vohuk tem como alvo principal a Alemanha e a Índia. Ele criptografa vários tipos de arquivo e os torna completamente inutilizáveis. Ele adiciona a extensão .Vohuk aos arquivos criptografados e substitui os ícones de arquivo por um ícone de cadeado vermelho. Uma nota de resgate é exibida no sistema da vítima para contatar o invasor por e-mail com um ID exclusivo atribuído a cada vítima. O ransomware ScareCrow criptografa arquivos nas máquinas das vítimas e adiciona a extensão de arquivo .CROW aos arquivos afetados. Os ataques são relativamente difundidos na Alemanha, Índia, Itália, Filipinas, Rússia e Estados Unidos. A nota de resgate instrui as vítimas a entrar em contato com o invasor usando um dos três canais do Telegram fornecidos. As semelhanças sugerem que os desenvolvedores do ScareCrow podem ter usado o código-fonte Conti vazado no início deste ano. Já o AERST, criptografa arquivos em máquinas comprometidas e acrescenta uma extensão de arquivo .AERST aos arquivos afetados. Em vez de soltar uma nota de resgate típica, ele exibe uma janela pop-up que inclui o endereço de e-mail do invasor.
* Fortinet alerta sobre exploração ativa da nova vulnerabilidade SSL-VPN.
A Fortinet emitiu na segunda-feira (12), patches de emergência para uma falha grave de segurança que afeta seu produto FortiOS SSL-VPN, que disse estar sendo ativamente explorado. Rastreado como CVE-2022-42475 (pontuação CVSS: 9,3), o bug crítico está relacionado a uma vulnerabilidade de estouro de buffer baseada em heap que pode permitir que um invasor não autenticado execute código arbitrário por meio de solicitações especialmente criadas. A empresa disse que está “ciente de um caso em que essa vulnerabilidade foi explorada”, pedindo aos clientes que se movam rapidamente para aplicar as atualizações.
* Novo malware em Python para servidores VMware ESXi.
Um backdoor Python não documentado foi detectado visando servidores VMware ESXi, permitindo que hackers executem comandos remotamente em um sistema comprometido. O VMware ESXi é uma plataforma de virtualização usada para hospedar vários servidores em um dispositivo enquanto usa recursos de CPU e memória com mais eficiência. O novo backdoor python adiciona sete linhas dentro de “/etc/rc.local.d/local.sh”, um dos poucos arquivos ESXi que sobrevivem entre as reinicializações e é executado na inicialização. Uma dessas linhas inicia um script Python salvo como “/store/packages/vmtools.py,” em um diretório que armazena imagens de disco VM, logs e muito mais. Esse script inicia um servidor Web que aceita solicitações POST protegidas por senha dos agentes de ameaças remotas. Essas solicitações podem transportar uma carga de comando codificada em base 64 ou iniciar um shell reverso no host.