Nuevo ataque de ransomware dirigido a servidores VMware ESXi vulnerables

Recomendados....   » Digitalización y seguridad: motor de innovación en el sector financiero Leer  » Replanteando la gestión de residuos y eliminación de activos informáticos Guia » Cómo proteger el nuevo perímetro Leer

Investigadores de seguridad han detectado un ataque dirigido activamente contra servidores VMware ESXi que no han recibido la actualización para solucionar una vulnerabilidad de ejecución remota de código de dos años de antigüedad. El ataque, que implementa el ransomware ESXiArgs, es un incidente global de gran envergadura con un alto impacto potencial para las entidades expuestas, por lo que se recomienda a todos los usuarios que actúen con rapidez y actualicen su sistema operativo. La mayoría de las entidades afectadas son compañías europeas.

El ataque de ransomware ESXiArgs utiliza un exploit para obtener acceso a los servidores y luego cifra las máquinas virtuales alojadas en ellos. Los atacantes luego exigen el pago de un rescate por el descifrado de los datos. El ataque parece ser llevado a cabo por un grupo bien financiado y organizado y es altamente efectivo, ya que los servidores ESXi se usan a menudo en infraestructuras críticas y pueden ser difíciles de proteger.

Todavía se especula sobre los ciberatacantes, y se ha sugerido que podrían tener fuertes vínculos con Rusia. Sin embargo, la buena noticia es que ya existe una solución disponible para esta vulnerabilidad. Para bloquear los ataques entrantes, los administradores deben deshabilitar el servicio Protocolo de ubicación de servicio (SLP) vulnerable en los hipervisores ESXi que aún no se han actualizado.

El 4 de febrero, Darkfeed, una plataforma proveedora de servicios de monitorización de ransomware, publicó en Twitter que “la propagación es extensa, con un total de 327 empresas afectadas, pero estamos seguros de que hay más. El sistema más atacado es el alojamiento de OVHcloud y Hetzner. Pero han golpeado a otras empresas de hosting y cloud de todo el mundo".

OVHcloud publicó un detallado post sobre el tema, mencionando que actualmente se está produciendo una ola de ciberataques a servidores ESXi y, aunque ningún servicio gestionado de OVHcloud se ve afectado por este ataque, muchos clientes utilizan este sistema operativo en sus propios servidores.