ESXiArgs Ransomware: Alguien está encriptando servidores VMware ESXi 6.X sin parches que están abiertos a Internet.

Administradores, proveedores de alojamiento y el equipo francés de respuesta a emergencias informáticas (CERT-FR) están emitiendo advertencias de que los atacantes están atacando activamente servidores VMware ESXi que son vulnerables debido a una debilidad de ejecución de código remoto sin parches de hace dos años. El objetivo final de estos atacantes es instalar ransomware en estos sistemas.

La vulnerabilidad rastreada como CVE-2021-21974 es una debilidad crítica de seguridad encontrada en el servicio OpenSLP de VMware ESXi. La vulnerabilidad permite a los atacantes no autenticados llevar a cabo ataques de ejecución de código remoto en los sistemas afectados. El problema se debe a un desbordamiento de montículo, que ocurre cuando el sistema intenta procesar datos excesivos que exceden la asignación de memoria designada para el proceso. Como resultado, los atacantes pueden tomar control del sistema afectado, ejecutar código arbitrario y potencialmente robar información confidencial o instalar malware, como ransomware. Por lo tanto, es esencial parchear los servidores VMware ESXi para protegerse contra esta vulnerabilidad.

«Según las investigaciones actuales, estas campañas de ataques parecen estar explotando la vulnerabilidad CVE-2021-21974, para la cual se ha estado disponible un parche desde el 23 de febrero de 2021», dijo CERT-FR

Los sistemas actualmente objetivo serían los hipervisores ESXi en la versión 6.x y anteriores a 6.7.

Para prevenir ataques entrantes, se aconseja a los administradores desactivar el servicio susceptible de Protocolo de Ubicación de Servicio (SLP) en hipervisores ESXi que aún no han sido parcheados. El Equipo de Respuesta a Emergencias Informáticas de Francia (CERT-FR) enfatiza fuertemente la importancia de aplicar la actualización lo antes posible, pero también subraya la necesidad de escanear los sistemas sin parchear para detectar signos de compromiso.

La vulnerabilidad CVE-2021-21974 afecta a los siguientes sistemas:

  • ESXi versions 7.x prior to ESXi70U1c-17325551
  • ESXi versions 6.7.x prior to ESXi670-202102401-SG
  • ESXi versions 6.5.x prior to ESXi650-202102101-S

Hoy, el proveedor de cloud francés OVHcloud publicó un informe que relaciona la actual ola de ataques dirigidos a los servidores VMware ESXi con la campaña de ransomware Nevada.

«Según expertos del ecosistema y autoridades, pueden estar relacionados con el ransomware Nevada y están utilizando CVE-2021-21974 como vector de compromiso. Las investigaciones todavía están en curso para confirmar estas suposiciones», dijo el CISO de OVHcloud, Julien Levrard.

«El ataque está principalmente dirigido a servidores ESXi en versiones antes de 7.0 U3i, aparentemente a través del puerto OpenSLP (427)»

Una búsqueda en Shodan revela que al menos 120 servidores VMware ESXi en todo el mundo ya han caído víctimas de esta operación de ransomware.

Nuevo ransomware ESXiArgs

Contrariamente, las notas de rescate observadas en este ataque no parecen tener ninguna conexión con el Ransomware Nevada y parecen provenir de una nueva familia de ransomware.

Durante las últimas cuatro horas, las víctimas afectadas por esta campaña han acudido al foro de BleepingComputer para informar sobre los ataques y solicitar ayuda e información adicional sobre cómo recuperar sus datos perdidos.

El ransomware infecta los archivos con las extensiones .vmxf, .vmx, .vmdk, .vmsd y .nvram en los servidores ESXi infectados y genera un archivo .args que contiene metadatos (probablemente requeridos para la descifrado) para cada archivo cifrado. Aunque los autores del ataque afirman haber obtenido información confidencial, una víctima informó en los foros de BleepingComputer que esto no fue el caso en su incidente particular.

Michael Gillespie de ID Ransomware está monitoreando actualmente el ransomware bajo el nombre ‘ESXiArgs’, sin embargo, informó a BleepingComputer que sin una muestra, es imposible determinar si el cifrado tiene alguna vulnerabilidad.

Si tiene alguna información nueva o una muestra del malware, compártala para que los investigadores puedan analizarla y potencialmente identificar cualquier debilidad.

🔥Suscribirse al canal: https://bit.ly/3vY16CT🔥


🚨Leer mi blog: https://angrysysops.com/


👊Twitter: https://twitter.com/AngrySysOps
👊Facebook: https://www.facebook.com/AngrySysOps
👊Mi Podcast: https://bit.ly/39fFnxm
👊Mastodon: https://techhub.social/@AngryAdmin


🔥Información sobre vExpert: https://bit.ly/3vXGPOa


🛒 Tienda VMware EMEA: https://imp.i263671.net/c/3505578/814646/11461


🛒 Tienda VMware US: https://imp.i263671.net/c/3505578/814642/11461


🛒 Tienda VMware APAC: https://imp.i263671.net/c/3505578/814645/11461

Please leave the comment