Un error de software sin parche presente en los servidores ESXi de VMWare está siendo explotado por piratas informáticos con el objetivo de propagar ransomware en todo el mundo.
Los piratas informáticos abusan de los servidores VMWare sin parches
Una vulnerabilidad de software de dos años presente en los servidores ESXi de VMWare se ha convertido en el objetivo de una campaña de piratería generalizada. El objetivo del ataque es implementar ESXiArgs, una nueva variante de ransomware. Se estima que cientos de organizaciones se han visto afectadas.
El Equipo de Respuesta a Emergencias Informáticas (CERT) de Francia publicó una declaración el 3 de febrero, en la que se discutió la naturaleza de los ataques. En el publicación CERT, se escribió que las campañas "parecen haberse aprovechado de la exposición de ESXi hipervisores que no se han actualizado con parches de seguridad lo suficientemente rápido". CERT también señaló que el error al que se apunta "permite que un atacante realice una explotación remota de código arbitrario".
Se ha instado a las organizaciones a parchear la vulnerabilidad del hipervisor para evitar ser víctimas de esta operación de ransomware. Sin embargo, CERT recordó a los lectores en la declaración antes mencionada que "actualizar un producto o software es un asunto delicado". operación que debe realizarse con precaución”, y que “se recomienda realizar pruebas tanto como sea posible."
VMWare también se ha pronunciado sobre la situación
Junto con CERT y varias otras entidades, VMWare también ha publicado una publicación sobre este ataque global. en un Aviso de VMware, se escribió que la vulnerabilidad del servidor (conocida como CVE-2021-21974) podría dar a los actores maliciosos la capacidad de "activar el problema de desbordamiento del montón en el servicio OpenSLP que resulta en código remoto ejecución."
VMWare también señaló que emitió un parche para esta vulnerabilidad en febrero de 2021, que se puede usar para cortar el vector de ataque de los operadores maliciosos y, por lo tanto, evitar ser atacado.
Este ataque no parece ser estatal
Aunque aún no se conocen las identidades de los atacantes en esta campaña, la Ciberseguridad Nacional de Italia ha dicho Nacional (ACN) que actualmente no hay evidencia que sugiera que el ataque fue realizado por alguna entidad estatal (según lo informado por Reuters). Varias organizaciones italianas se vieron afectadas por este ataque, así como organizaciones en Francia, Estados Unidos, Alemania y Canadá.
Se han dado sugerencias sobre quién podría ser el responsable de esta campaña, con software de varios familias de ransomware como BlackCat, Agenda y Nokoyawa, en consideración. El tiempo dirá si se pueden descubrir las identidades de los operadores.
Los ataques de ransomware continúan representando un riesgo importante
A medida que pasan los años, más y más organizaciones son víctimas de ataques de ransomware. Este modo de delito cibernético se ha vuelto increíblemente popular entre los actores maliciosos, con este hack global de VMWare que muestra cuán generalizadas pueden ser las consecuencias.
