Ameaça de ransomware via exploração de vulnerabilidades do VMware ESXi

BR Defense Center (By River de Morais e Silva)
ransomware

Um grupo de atores de ameaças que fala chinês é suspeito de ter utilizado um dispositivo VPN SonicWall comprometido como vetor de acesso inicial para implantar um exploit do VMware ESXi. Essa atividade foi observada pela empresa de cibersegurança Huntress em dezembro de 2025, que conseguiu interrompê-la antes que avançasse para um ataque de ransomware. O ataque explorou três vulnerabilidades do VMware, divulgadas como zero-days pela Broadcom em março de 2025, com pontuações CVSS variando de 7.1 a 9.3. A exploração permitiu que um ator malicioso com privilégios de administrador vazasse memória do processo VMX ou executasse código como o processo VMX. O toolkit utilizado no ataque inclui componentes sofisticados, como um driver de kernel não assinado e um backdoor que oferece acesso remoto persistente ao host ESXi. A comunicação entre o cliente e o backdoor é feita através do protocolo VSOCK, que permite interações diretas entre máquinas virtuais e o hipervisor, dificultando a detecção. A análise sugere que o desenvolvimento do exploit pode ter ocorrido mais de um ano antes da divulgação pública, indicando um desenvolvedor bem financiado operando em uma região de língua chinesa.

Fonte: https://thehackernews.com/2026/01/chinese-linked-hackers-exploit-vmware.html

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
09/01/2026 • Risco: CRITICO
RANSOMWARE

Ameaça de ransomware via exploração de vulnerabilidades do VMware ESXi

RESUMO EXECUTIVO
O ataque demonstrou uma cadeia de ataque sofisticada que comprometeu o hipervisor ESXi, utilizando vulnerabilidades críticas. A exploração de zero-days e a capacidade de comunicação via VSOCK tornam a detecção e mitigação desafiadoras, exigindo atenção imediata dos líderes de segurança.

💼 IMPACTO DE NEGÓCIO

Financeiro
Custos associados a recuperação de dados e interrupções de serviços.
Operacional
Possível ataque de ransomware com controle total do hipervisor.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Saúde']

📊 INDICADORES CHAVE

CVE-2025-22224 com pontuação CVSS de 9.3. Indicador
CVE-2025-22225 com pontuação CVSS de 8.2. Contexto BR
CVE-2025-22226 com pontuação CVSS de 7.1. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a presença de dispositivos SonicWall e VMware ESXi na infraestrutura.
2 Aplicar patches disponíveis para as vulnerabilidades CVE-2025-22224, CVE-2025-22225 e CVE-2025-22226.
3 Monitorar atividades suspeitas nas máquinas virtuais e no hipervisor.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a possibilidade de um ataque de ransomware que compromete a infraestrutura virtual, um cenário que pode resultar em perdas financeiras significativas e interrupções operacionais.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD em caso de vazamento de dados.
Status
mitigado
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).