Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
El ransomware ESXiArgs se dirige a servidores VMware ESXi sin parchear
13 de febrero de 2023 - Equipo de RRPP de TuxCare
Administradores, proveedores de alojamiento y el Equipo de Respuesta a Emergencias Informáticas de Francia (CERT-FR) han advertido de un nuevo ataque de ransomware llamado ESXiArgs que se dirige a servidores VMware ESXi que no han sido parcheados contra una vulnerabilidad de ejecución remota de código de hace dos años.
La vulnerabilidad, conocida como CVE-2021-21974, está causada por un problema de desbordamiento de heap en el servicio OpenSLP que puede ser aprovechado por atacantes no autenticados en ataques de baja complejidad. El fallo afecta a las versiones 7.x de ESXi anteriores a ESXi70U1c-17325551, a las versiones 6.7.x de ESXi anteriores a ESXi670-202102401-SG y a las versiones 6.5.x de ESXi anteriores a ESXi650-202102101-SG.
Para bloquear los ataques entrantes, se aconseja a los administradores que desactiven el servicio vulnerable Service Location Protocol (SLP) en los hipervisores ESXi que no hayan sido actualizados y apliquen el parche lo antes posible. Además, los sistemas que no han sido parcheados también deben ser escaneados en busca de signos de compromiso.
En la campaña de ransomware, los atacantes cifraron archivos con las extensiones .vmxf, .vmx, .vmdk, .vmsd y .nvram en servidores ESXi comprometidos y crearon un archivo .args para cada documento cifrado con metadatos, probablemente necesarios para el descifrado. Sin embargo, los pagos de rescates han sido limitados, con sólo cuatro pagos de rescates reportados por un total de 88.000 dólares. Esto podría deberse a una guía de recuperación de VMware ESXi creada por un investigador de seguridad, que permite a los administradores reconstruir sus máquinas virtuales y recuperar sus datos de forma gratuita.
Inicialmente se pensó que el ataque estaba relacionado con la operación del ransomware Nevada, pero la investigación posterior descubrió que las notas del ransomware vistas en este ataque no parecían estar relacionadas con el ransomware Nevada y parecían pertenecer a una nueva familia de ransomware. El ransomware ESXiArgs está siendo rastreado por Michael Gillespie de ID Ransomware, quien dijo que hasta que no se encuentre una muestra, no es posible determinar si tiene alguna debilidad en el cifrado.
En conclusión, es crucial que los administradores actualicen sus servidores VMware ESXi y desactiven el servicio OpenSLP para protegerse contra este ataque de ransomware. En caso de que se produzca una brecha, se recomienda a los administradores que recuperen una copia del cifrador ESXiArgs y del script de shell asociado para comprender mejor el ataque y tomar las medidas adecuadas para recuperar sus datos.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
