Redes

Operación masiva de ransomware dirigida a VMware ESXi

Estas infecciones de ransomware en el software VMware ESXi se deben a una vulnerabilidad que existe desde 2023. Descubra qué países son los más atacados y cómo proteger a su organización.

Ransomware en la pantalla y un hombre con la cabeza entre las manos.Imagen: Adobe Stock

Salta a:

¿Cómo funciona este ataque de ransomware?

CVE-2023-21974 es una vulnerabilidad que afecta a OpenSLP utilizado en VMware ESXi. La explotación exitosa de esta vulnerabilidad podría permitir que un atacante ejecute código arbitrario, y los exploits para esta vulnerabilidad se pueden encontrar en varias fuentes abiertas desde mayo de 2023.

Informes de seguridad de lectura obligada

El equipo de respuesta a emergencias informáticas CERT-FR del gobierno francés fue el primero en alertar sobre el ransomware que explota esta vulnerabilidad el 3 de febrero de 2023, seguido por el proveedor de alojamiento francés OVH.

Un atacante podría explotar la vulnerabilidad de forma remota y sin autenticación a través del puerto 427 (Service Location Protocol, SLP), un protocolo que la mayoría de los clientes de VMware no utilizan.

El ransomware cifra los archivos con las siguientes extensiones en los sistemas afectados: .vmdk, .vmxf, .vmsd, .vmsn, .vmss, .vswp, .nvram y .vmem. Luego intenta apagar la máquina virtual finalizando el proceso VMX para desbloquear el archivo.

Una vez completada la encriptación, deje una descripción de texto (Figura A), exigiendo que el rescate se pague en criptomoneda Bitcoin en un plazo de tres días.

LEER  Por qué el enfrentamiento de este año podría ser el último Super Bowl 4G de la historia

Figura A

Se deja una nota de rescate en el dispositivo de destino.Imagen: Twitter. Se deja una nota de rescate en el dispositivo de destino.

Se desconoce el actor de amenazas de ransomware detrás de este ataque, ya que el malware parece ser un nuevo tipo de ransomware. OVH informa que, según varios investigadores de seguridad, la clave de cifrado utilizada en el ransomware es la misma que la utilizada en el código del malware Babuk filtrado en septiembre de 2023, aunque la estructura del código es diferente.

El código Babuk filtrado en 2023 se usó para crear otro malware que generalmente se dirige a los sistemas ESXi, pero parece demasiado pronto para sacar conclusiones firmes sobre la atribución de este nuevo malware, que ha sido identificado por el personal de investigación de seguridad llamado ESXiArgs.

Francia y Estados Unidos son los principales objetivos

Censys Search, una herramienta en línea que busca a través de dispositivos conectados a Internet, reveló que más de 1000 servidores habían sido atacados con éxito por el ransomware, principalmente en Francia, seguido de EE. UU. y Alemania.

En el momento de escribir este artículo, más de 900 servidores en Francia se vieron comprometidos, mientras que alrededor de 400 servidores en los EE. UU. se vieron afectados.

Muchos más sistemas pueden ser vulnerables y no han sido comprometidos. La Fundación Shadowserver informó que alrededor de 27,000 instancias eran potencialmente vulnerables, según la versión de su software VMware.

Cómo proteger a su organización de esta amenaza de ransomware

Para los sistemas que ejecutan versiones sin parches de VMware ESXi, si el servicio SLP se está ejecutando, es una prioridad absoluta cortarlo. La vulnerabilidad solo puede ser explotada a través de este servicio, por lo que si está desactivado, el sistema no puede ser explotado a través de este vector.

El siguiente paso consiste en reinstalar el hipervisor en una versión compatible con VMware (ESXi 7.x o ESXi 8.x) y aplicar los parches de seguridad.

Finalmente, todos los servicios de gestión deben estar protegidos y solo disponibles localmente. Si se requiere acceso remoto, se debe usar una VPN con autenticación multifactor o filtrado de IP.

Jan Lovmand, CTO de la firma de seguridad cibernética BullWall, que se especializa en prevenir ataques de ransomware, le contó a Tecnopedia más sobre la vulnerabilidad.

«VMware ha proporcionado un parche desde que se descubrió la vulnerabilidad en febrero de 2023”, dijo Lovmand. Una de las razones. La superficie de ataque es grande y las soluciones de seguridad preventivas se pueden eludir en este caso si las vulnerabilidades no se reparan».

Lovmand también enfatizó la importancia de parchear la red.

«Las probabilidades de que su empresa sea atacada con éxito por ransomware en 2023 son 50-50», dijo. «Las soluciones de seguridad no pueden proteger una red sin parches».

Cómo recuperarse de esta amenaza de ransomware

Los investigadores de seguridad Enes Somnez y Ahmet Aykac han ideado una solución para recuperarse cuando los sistemas son atacados por este ransomware.

El ransomware cifra archivos pequeños como .vmdk y .vmx, pero no el archivo server-flat.vmdk, que contiene los datos reales, explicaron los investigadores. Usando este archivo, es posible retroceder y restaurar información del sistema.

Julien Levrard, director de seguridad de la información de OVHCloud, escribió que el método documentado por Somnez y Aykac ha sido probado por OVH, así como por muchos expertos en seguridad, y ha tenido éxito en varios servidores afectados con una tasa de éxito de 2/3. «Este proceso requiere sólidas habilidades en el entorno ESXi», agregó.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

Lea a continuación: Política de gestión de parches (Edición Premium de Tecnopedia)

LEER  Cómo obligar a Portainer a usar HTTPS y cargar su certificado SSL

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba