Ataques ransomware se dirigen a todo el mundo

Comparte en ...

VMware ESXi disfruta de una amplia atención por parte de los actores de amenazas y, recientemente, muchos grupos de ransomware han cambiado su interés hacia las máquinas virtuales ESXi vulnerables. Un nuevo ransomware llamado ESXiArgs y la variante de Linux de Royal Ransomware son las amenazas más recientes que se unen a esta tendencia.

Table of Contents

Campaña de ESXiArgs

Los actores de amenazas están apuntando activamente a una vulnerabilidad RCE de dos años ( CVE-2021-21974 ) que afecta a los hipervisores ESXi versión 6.x y anteriores a la 6.7, aparentemente a través del puerto OpenSLP (427).

Los expertos encontraron que aproximadamente 3200 servidores VMware ESXi comprometidos en todo el mundo se vieron afectados por esta campaña reciente.
CERT-FR y SingCERT emitieron advertencias separadas contra esta campaña de ransomware automatizada masiva dirigida a los hipervisores VMware ESXi a nivel mundial, con un enfoque en Europa. Ambas autoridades recomendaron aplicar el parche lo antes posible.

La campaña de Royal Ransomware

Se descubre una nueva variante del ransomware Linux Royal dirigida específicamente a las máquinas virtuales VMware ESXi.

Se ejecuta usando la línea de comando y viene con soporte para múltiples banderas que le darán a los operadores de ransomware cierto control sobre el proceso de encriptación.
Al cifrar archivos, agregará la extensión .royal_u a todos los archivos cifrados en la máquina virtual.

Las últimas muestras han sido detectadas por 23 de los 62 motores de análisis de malware en VirusTotal.

Más información sobre el ransomware ESXiArgs

El cifrador se ejecuta mediante un archivo de script de shell (encrypt.sh) que lo inicia con varios argumentos de línea de comandos.

Los argumentos incluyen el archivo de clave pública RSA (public.pem), el archivo para cifrar, los detalles de los datos que no se cifrarán, el tamaño de un bloque de cifrado y el tamaño del archivo.
El script encripta archivos con extensiones específicas en servidores ESXi comprometidos y crea un archivo .args para cada documento encriptado con metadatos.
Después del cifrado, el script reemplazará la página de inicio de VMware ESXi index.html y el archivo motd del servidor con las notas de rescate. Finalmente, el script realiza una limpieza de varios archivos de configuración de Linux y una posible puerta trasera.

ESXiArgs conectados a Babuk

Los expertos descubrieron que ESXiArgs posiblemente se basa en el código fuente de Babuk filtrado , similar a otras campañas de ransomware de ESXi como CheersCrypt y el cifrador PrideLocker del grupo Quantum/Dagon.
Si bien la nota de rescate para Cheerscrypt y ESXiArg es muy similar, el método de cifrado es diferente, lo que no deja claro si se trata de una nueva variante o simplemente de un código base compartido de Babuk.

Conclusión

El año pasado, muchos grupos de ransomware como Black Basta , Hive , RedAlert , GwisinLocker y Cheers apuntaron a las máquinas virtuales ESXi. Los expertos estiman que las pandillas de ransomware, incluidas las nuevas como ESXiArgs, seguirán representando amenazas para las máquinas virtuales ESXi. Para mantenerse protegidas, se recomienda a las organizaciones que parcheen correctamente sus dispositivos y realicen un análisis completo del sistema para detectar cualquier signo de compromiso.

¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos.