En la ola de ransomware que, según BSI, afecta a miles de servidores en todo el mundo, incluido un número medio de tres dígitos de empresas alemanas, los atacantes tienen como objetivo las granjas de servidores, los llamados servidores ESXi, y por lo tanto el corazón de cada TI. paisaje. Los servidores VMware ESXi obsoletos y sin parches que aún funcionan con la vulnerabilidad de febrero de 2021 fueron atacados específicamente.
Según la BSI - Oficina Federal para la Seguridad de la Información, miles de servidores que ejecutan la solución de virtualización ESXi de VMware se infectaron con ransomware y muchos también se cifraron en un ataque global generalizado. El foco regional de los ataques a los servidores VMware ESXi estaba en Francia, EE. UU., Alemania y Canadá; otros países también se ven afectados. Los perpetradores se aprovecharon de una vulnerabilidad conocida desde hace mucho tiempo. La vulnerabilidad en sí, que figura como CVE-2021-21974 y según CVSS con una gravedad de 8.8 como "alta": hay un parche del fabricante desde febrero de 2021.
Esto es lo que dice Trend Micro sobre el ataque al servidor ESXi
🔎 Trend Micro: Richard Werner, consultor comercial (Imagen: Trend Micro).
“Vemos una y otra vez que las empresas no están preparadas para tales problemas de terceros. Hay un proceso regular de parches para Microsoft, pero no para los fabricantes de terceros, como VMware en este caso. Porque la cantidad de parches no justifica crear un proceso separado para ello. Además, las empresas no solo cierran su granja de servidores para instalar un solo parche. Los atacantes son conscientes de las dificultades a las que se enfrentan sus víctimas y, por lo tanto, a menudo explotan vulnerabilidades que no se basan en la tecnología de Microsoft.
Vulnerabilidad de ESXi ya informada a VMware en octubre de 2020
De hecho, solo alrededor del 30 por ciento de las vulnerabilidades utilizadas por los atacantes se basan en el software del gigante tecnológico. No es raro que los piratas informáticos exploten activamente las vulnerabilidades de software sin parches. Según una investigación de Trend Micro, alrededor del 86 por ciento de todas las empresas en todo el mundo tienen tales brechas. Zero Day Initiative de Trend Micro informó la vulnerabilidad, identificada como CVE-2021-21974 y calificada como "alta" por CVSS con una gravedad de 8.8, a VMware en octubre de 2020 y luego publicaron conjuntamente una Divulgación responsable de la vulnerabilidad (divulgación responsable) ", dice Richard Werner, consultor de negocios en Trend Micro.
Esto es lo que dice Check Point sobre el ataque al servidor ESXi
“Las interrupciones que se han producido en los últimos días se remontan con precisión a este ataque de ransomware, que es una amenaza creciente no solo en países europeos como Francia e Italia, sino en todo el mundo. En julio del año pasado, ThreatCloud de Check Point Research informó un aumento interanual del 59 % en el ransomware a nivel mundial. Con este incremento y el ataque reportado ayer, es oportuno reiterar que prevenir las amenazas cibernéticas debe ser una prioridad máxima para las empresas y organizaciones.
Incluso las máquinas que no son de Windows ahora están en riesgo
Este ataque masivo a los servidores ESXi también se considera uno de los ataques cibernéticos más grandes jamás informados en máquinas que no son Windows. Lo que hace que la situación sea aún más preocupante es el hecho de que, hasta hace poco, los ataques de ransomware se limitaban a las máquinas basadas en Windows. Los atacantes han reconocido la importancia de los servidores Linux para los sistemas de las instituciones y organizaciones”, dice Lothar Geuenich, VP Central Europe / DACH en Check Point Software Technologies.
Esto dice Barracuda sobre el ataque al servidor ESXi
🔎 Barracuda Networks: Stefan van der Wal, ingeniero de soluciones de consultoría, EMEA, seguridad de aplicaciones (Imagen: Barracuda Networks).
“Los ataques de ransomware generalizados informados en sistemas VMware ESXi sin parches en Europa y en otros lugares parecen haber explotado una vulnerabilidad que se parchó en 2021. Esto demuestra lo importante que es actualizar los sistemas de infraestructura de software críticos de manera absolutamente oportuna. No siempre es fácil para las empresas actualizar el software. En el caso de este parche, por ejemplo, las empresas deben desactivar temporalmente partes significativas de su infraestructura de TI. Pero es mucho mejor aguantar esto que ser golpeado por un ataque potencialmente malicioso.
Las organizaciones que utilizan ESXi deben actualizar a la última versión de inmediato
Asegurar la infraestructura virtual es fundamental. Las máquinas virtuales pueden ser un objetivo atractivo para el ransomware, ya que a menudo ejecutan servicios o funciones sensibles a la empresa, y un ataque exitoso podría causar una interrupción generalizada. Es particularmente importante asegurarse de que el acceso a la consola de administración de una máquina virtual esté protegido y, por ejemplo, no se pueda acceder simplemente a través de una cuenta comprometida en la red corporativa”, dijo Stefan van der Wal, ingeniero de soluciones de consultoría, EMEA, seguridad de aplicaciones en Barracuda Networks.
Esto es lo que dice Artic Wolf sobre el ataque al servidor ESXi
A pesar de los informes de que los ataques de ransomware exitosos están disminuyendo, el ataque global a servidores en Europa y América del Norte muestra que el ransomware sigue siendo una amenaza real para las empresas y organizaciones de todo el mundo. Al explotar una vulnerabilidad en VMWare, los delincuentes pudieron atacar a un importante proveedor que abastece a múltiples industrias e incluso países. Por lo tanto, es seguro asumir que el ataque continuará causando trastornos generalizados a miles de personas durante algún tiempo.
Las empresas deben revisar constantemente la postura de seguridad actual
“En la primera mitad de 2022, más de la mitad de todos los incidentes de seguridad fueron causados por la explotación de vulnerabilidades externas. Una tendencia que se puede observar: los actores de amenazas se dirigen cada vez más a organizaciones de todos los tamaños, particularmente a través de vulnerabilidades conocidas. Por lo tanto, es más importante que nunca que las organizaciones comprendan correctamente los fundamentos de ciberseguridad, p. B. a través de parches consistentes y regulares.
Esto significa trabajar con expertos para identificar la tecnología adecuada, capacitar a los empleados en la aplicación correcta y revisar constantemente la situación de seguridad actual. De esta forma, pueden asegurarse de estar en la mejor posición posible para reaccionar ante nuevas amenazas y protegerse de la mejor manera posible. Además, en caso de que ciertos sistemas dejen de funcionar, los planes de contingencia son fundamentales para permitir que las organizaciones continúen operando”, dijo Dan Schiappa, director de productos de Lobo ártico.
Eso dice Tehtris sobre el ataque al servidor ESXi
TEHTRIS ha publicado un análisis del ataque del ransomware ESXiArgs que se conoció durante el fin de semana. Los expertos en seguridad llegaron a la conclusión de que los ataques fueron precedidos por una serie de actividades antes de que ocurriera el ataque real. Para su investigación, los investigadores de seguridad analizaron actividades relacionadas con el puerto 427 en particular, que es de gran importancia en los ataques actuales.
Ransomware ESXiArgs: Ataques no solo desde el fin de semana
🔎 Actividades registradas por Tehtris alrededor del puerto 427 en servidores ESXi (Imagen: Tehtris).
La campaña cibernética ESXiArgs recibió su nombre porque crea un archivo .args para cada documento cifrado. Gracias a su red mundial de honeypots, Tehtris pudo determinar que el ataque que se conoció durante el fin de semana no comenzó hace apenas unos días. La línea de tiempo a continuación, basada en datos de Tehtris desde el 1 de enero de 2023, muestra que hubo un aumento en los ataques al puerto 10 entre el 24 y el 427 de enero. Estas actividades luego se reanudaron a principios de febrero.
Algunas de las IP maliciosas que Tehtris está monitoreando en este contexto en su red honeypot intentaron pasar desapercibidas antes del 3 de febrero. Si bien fueron muy discretos al hacer una sola llamada, llegaron a una gran cantidad de honeypots. Mirando el panel global del honeypot, se muestra que la mayoría de los ataques entrantes en el puerto 427 tienen como objetivo la parte este de los EE. UU., la parte noreste de Asia-Pacífico y Europa occidental, y prácticamente al mismo nivel. Se pueden encontrar más resultados de la investigación, incluido un análisis de las direcciones IP desde las que se originan los ataques. en la última entrada del blog de Tehtris.