Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
SentinelOne advierte del aumento de ataques dirigidos contra VMWare ESXi
26 de mayo de 2023 - Equipo de RRPP de TuxCare
SentinelOne ha emitido una advertencia sobre el aumento del número de nuevas familias de ransomware creadas exclusivamente para sistemas VMware ESXi. Estas peligrosas aplicaciones se basan en el código fuente de Babuk.
La familia de ransomware Babuk, descubierta por primera vez en enero de 2021, se hizo rápidamente famosa por sus ataques a varias organizaciones. Sin embargo, uno de los operadores del malware publicó su código fuente en Internet en septiembre de 2021. Esta filtración resultó fundamental, ya que permitió a los investigadores de seguridad crear una herramienta de descifrado gratuita en menos de dos meses.
Las amenazas han utilizado el código fuente liberado para generar una serie de nuevas cepas de ransomware. Entre ellas se encuentran RTM Locker, Rook y Rorschach (también conocida como BabLock), que son capaces de atacar servidores ESXi con Windows y Linux.
Según SentinelOne, en el último año se han formado al menos diez familias únicas de ransomware que aprovechan el código fuente de Babuk para atacar especialmente máquinas VMware ESXi. Además, el código ha sido tomado por operaciones de ransomware más pequeñas como House's Mario, Play, Cylance, Dataf Locker, Lock4 y XVGV. Preocupantemente, bandas de ransomware bien conocidas como Alphv/BlackCat, Black Basta, Conti, Lockbit y REvil han sido detectadas dirigiendo sus ataques contra despliegues ESXi.
SentinelOne continuó explicando que sólo los casilleros Conti y REvil ESXi muestran coincidencias con el código Babuk filtrado. Esto demuestra un posible vínculo entre ambos grupos. Según la empresa de ciberseguridad, estas actividades de ransomware podrían haber subcontratado un proyecto de ESXi locker a un desarrollador común o haber utilizado código compartido para cooperar. Además, salvo por el uso de la misma tecnología de cifrado de código abierto Sosemanuk, ESXiArgs locker compartía pocas similitudes con Babuk.
Según SentinelOne, los actores de amenazas utilizan cada vez más el código Babuk como base para crear lockers ESXi y Linux. Además, advierte de que los atacantes podrían adoptar el casillero NAS basado en Go del grupo Babuk en el futuro, ya que Golang, el lenguaje de programación utilizado para el casillero NAS, está ganando popularidad entre los actores de amenazas. Dado que la mayoría de los sistemas NAS atacados están basados en Linux, el uso del NAS locker puede proporcionar a los atacantes una herramienta fácil y eficaz para lanzar ataques de ransomware.
Sin embargo, las consecuencias de estos ataques van más allá de las instalaciones ESXi, ya que la colaboración y el intercambio de código entre distintas organizaciones de ransomware ilustran las crecientes estrategias utilizadas por los hackers en su búsqueda de beneficios económicos.
Las fuentes de este artículo incluyen un artículo en SecurityWeek.
