Un ataque global de ransomware ha afectado a miles de servidores que ejecutan el hipervisor VMware ESxi, y se espera que más servidores se vean afectados, según las agencias nacionales de ciberseguridad y expertos en seguridad de todo el mundo.
El Equipo Francés de Respuesta a Emergencias Informáticas (CERT-FR) fue el primero en darse cuenta y enviar una alerta sobre el ataque.
"En marzo<>CERT-FR tuvo conocimiento de una campaña de ataque dirigida al hipervisor VMware ESXi con el objetivo de desplegar ransomware en él", escribió CERT-FR.
[Instructions on what you know about these computer viruses: definitions, types, and examples. | Sign up for the CSO newsletter! ]
Otras agencias nacionales de ciberseguridad -incluidos grupos de Estados Unidos, Francia y Singapur- también emitieron alertas sobre el ataque. Al parecer, se vieron comprometidos servidores en Francia, Alemania, Finlandia, Estados Unidos y Canadá.
0 de 25 minutos y 14 segundos de volumen 0%
Hasta el momento, más de 3.200 servidores de todo el mundo se han visto comprometidos, según la empresa de ciberseguridad Censys.
CERT-FR and others reported that the campaign exploited the CVE-2021-21974 vulnerability, for which a patch has been available since March 23, 2021. This vulnerability affects Service Location Protocol (SLP) services and allows an attacker to remotely exploit arbitrary code. CERT-FR stated that the current target system is version 6.x of the ESXi hypervisor, which is earlier than version 7.<>.
"SLP se puede desactivar en cualquier servidor ESXi que no haya sido actualizado para reducir aún más el riesgo de compromiso", escribió CERT-FR en su aviso.
Una alerta emitida por el proveedor de ciberseguridad DarkFeed durante el fin de semana indicaba que, en Europa, Francia y Alemania fueron los países más afectados por los ataques. Según DarkFeed, la mayoría de los servidores comprometidos en Francia y Alemania estaban alojados en los proveedores de alojamiento OVHcloud y Hetzner, respectivamente.
Una nota de rescate emitida a las víctimas del ataque publicada públicamente por DarkFeed dice en parte: "¡Alerta de seguridad! Hemos conseguido comprometer su empresa... Envíe el dinero en un plazo de 3 días o expondremos algunos datos y aumentaremos el precio.
The description cited by DarkFeed states that 2.01584 (approximately $23,000) was sent to a Bitcoin wallet, but apparently the threat actor is using a different wallet to collect the fee. “Interestingly, the Bitcoin wallets are different in each ransom note. The group does not have a website, only a TOX ID,” DarkFeed said.
Las agencias de seguridad mundiales asesoran a los equipos de seguridad.
Se recomienda a los administradores que actualicen a la última versión de ESXi
"Se aconseja a los usuarios y administradores de las versiones afectadas del producto que actualicen inmediatamente a la última versión. Como medida de precaución, también se debe realizar un análisis completo del sistema para detectar cualquier signo de compromiso. También se aconseja a los usuarios y administradores que evalúen si la actividad del ransomware dirigida al puerto 427 puede desactivarse sin interrumpir las operaciones", señaló en un comunicado el Equipo de Respuesta a Emergencias Informáticas de Singapur (SingCERT).
Desde que el ataque salió a la luz, los investigadores de seguridad han estado analizándolo, emitiendo avisos similares y añadiendo información.
“Upgrade to the latest version of #ESXi and limit access to the #OpenSLP service to trusted IP addresses,” security researcher Matthieu Garin advised in a Twitter post. Garin also provides information that helps in recovering ransom files. “The attacker only encrypts the configuration file, not the vmdk disk where the data is stored. This is definitely very useful!” Galin said.
Mientras tanto, las agencias estadounidenses dijeron que estaban evaluando el impacto de los incidentes denunciados.
"CISA está trabajando con nuestros socios del sector público y privado para evaluar el impacto de estos incidentes reportados y proporcionar asistencia si es necesario", dijo la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos en un informe a los medios, según Reuters express.
Los investigadores señalan que los atacantes de ransomware suelen dirigirse a los países desarrollados.
"Los países desarrollados suelen ser el objetivo de los ataques de ransomware con más frecuencia porque disponen de más recursos y Bitcoin y son más propensos a pagar las peticiones de rescate", afirma Rahul Sasi, cofundador y consejero delegado de la empresa de ciberseguridad CloudSEK.
"Estos países también tienden a tener una mayor densidad de objetivos valiosos, como grandes empresas y organismos gubernamentales, que podrían ser vulnerables a un ataque exitoso. Además, los países desarrollados suelen tener una infraestructura tecnológica más avanzada, lo que los hace prometedores Un objetivo más atractivo para los ciberdelincuentes que aprovechan las vulnerabilidades", añadió Sasi.