Los piratas informáticos están explotando una vulnerabilidad de VMWare sin parches para apuntar a servidores ESXi y distribuir ransomware.
Un error de software sin parche presente en los servidores ESXi de VMWare está siendo explotado por piratas informáticos en un intento de propagar ransomware en todo el mundo.
Los piratas informáticos explotan los servidores VMWare sin parches
Una vulnerabilidad de software de dos años en los servidores ESXi de VMWare se ha convertido en el objetivo de una campaña de piratería generalizada. El objetivo del ataque es implementar ESXiArgs, una nueva variante de ransomware. Se estima que cientos de organizaciones se han visto afectadas.
El Equipo Francés de Respuesta a Emergencias Informáticas (CERT) emitió un comunicado el 3 de febrero, en el que se discutía la naturaleza de los ataques. En el mensaje del CERT, se escribió que las campañas «parecen haberse beneficiado de la exposición de los hipervisores ESXi que no se han actualizado lo suficientemente rápido con parches de seguridad». CERT también señaló que el error objetivo «permite que un atacante realice una explotación remota de código arbitrario».
Se ha aconsejado a las organizaciones que solucionen la vulnerabilidad del hipervisor para evitar ser víctimas de esta operación de ransomware. No obstante, el CERT recuerda en la citada nota de prensa que «la actualización de un producto o software es una operación delicada que debe realizarse con precaución» y que «se recomienda realizar el mayor número de pruebas posible».
VMWare también habló sobre la situación.
Junto con CERT y varias otras entidades, VMWare también ha publicado un artículo sobre este ataque global. En un aviso de VMWare, se escribió que la vulnerabilidad del servidor (conocida como CVE-2021-21974) podría brindarles a los actores maliciosos la capacidad de «desencadenar el problema de desbordamiento del montón en el servicio OpenSLP que causa la ejecución de código remoto».
VMWare también señaló que lanzó un parche para esta vulnerabilidad en febrero de 2021, que se puede usar para cortar el vector de ataque de operadores maliciosos y así evitar ser atacados.
Este ataque no parece ser estatal.
Aunque aún no se conocen las identidades de los atacantes en esta campaña, la Agencia Nacional de Ciberseguridad de Italia (ACN) dijo que actualmente no hay evidencia que sugiera que el ataque fue realizado por una entidad estatal (según informó Reuters). Varias organizaciones italianas se vieron afectadas por este ataque, así como organizaciones en Francia, Estados Unidos, Alemania y Canadá.
Se han hecho sugerencias sobre quién podría ser el responsable de esta campaña, y se está investigando el software de varias familias de ransomware como BlackCat, Agenda y Nokoyawa. El tiempo dirá si se pueden descubrir las identidades de los operadores.
Los ataques de ransomware continúan representando un riesgo importante
A lo largo de los años, cada vez más organizaciones son víctimas de ataques de ransomware. Este modo de delito cibernético se ha vuelto increíblemente popular entre los actores maliciosos, con este hack global de VMWare que muestra cuán generalizadas pueden ser las consecuencias.
