Diversas agencias nacionales de ciberseguridad en todo el mundo han informado de un ciberataque contra el hipervisor VMware ESXi mediante la implantación de un ransomware.
En febrero 2023 diversas agencias en todo el mundo han informado de un ciberataque muy complejo y avanzado a escala global.
Diversas agencias nacionales de ciberseguridad en todo el mundo, como Francia, España, Italia, Estados Unidos y Singapur, han informado de un ciberataque contra el hipervisor VMware ESXi mediante la implantación de un ransomware.
El Equipo de Respuestas a Emergencias Informáticas de Francia (CERT-FR), fue el primer organismo nacional en dar aviso y emitir una alerta sobre este incidente. «El 3 de febrero, el CERT-FR tuvo conocimiento de campañas de ataque dirigidas a hipervisores VMware ESXi con el objetivo de desplegar ransomware en ellos«, rezaba el comunicado francés.
¿Qué es un hipervisor y qué riesgos tiene el ransomware ESXiArgs?
ESXi es el hypervisor desarrollado por VMware, una tecnología que brinda la posibilidad a las empresas de virtualizar múltiples computadoras que ejecutan diversos sistemas operativos en un único servidor físico.
El principal peligro que se plantea con este ataque es la potencial pérdida de datos fundamentales. Los datos que son encriptados por este software malicioso pueden resultar complicados o incluso imposibles de recuperar, generando así una seria amenaza para la seguridad de cualquier organización.
Una vez que nuestros datos son comprometidos, un guion de shell lleva a cabo el proceso de cifrado y presenta una nota de rescate para intentar recuperar la información, sin embargo, no existen garantías de éxito y no se recomienda seguir dicho procedimiento.
En España, el Centro Criptológico Nacional (CCN-CERT), también publicó un aviso sobre este ciberataque a escala global, en el cual explica que estos ataques tratan de aprovechar un fallo de seguridad descubierto en 2021, que ya fue notificado en su momento. «Varios investigadores de seguridad afirman que podría haber más de 3.200 servidores comprometidos, afectando a sistemas pertenecientes a distintas organizaciones ubicadas en varias partes del mundo, destacando Italia, Francia, Finlandia, EE. UU. y Canadá. El fabricante publicó una actualización de seguridad que soluciona el fallo«, explicaba la alerta.
De este modo, el CCN expone que el NIST (Instituto Nacional de Estándares y Tecnología de Estados Unidos), calificó la vulnerabilidad dándole una puntuación de 8’8 en la escala CVSSv3. De igual manera, VMware la calificaba como una vulnerabilidad de riesgo alto.
«Hasta la fecha, se conocen varios ataques de tipo ransomware que han afectado a varios países, en concreto servidores que no se actualizaron cuando se hizo pública la vulnerabilidad. Por otro lado, se encuentra pública una prueba de concepto (PoC) con los detalles de la vulnerabilidad reportada: VMware ESXi OpenSLP Heap Overflow».
“Si no se ha hecho con anterioridad, se recomienda aplicar el parche correspondiente lo antes posible”
DarkFeed, proveedor de soluciones de ciberseguridad, Francia y Alemania serían los países más afectados por este ataque en Europa, ya que muchos de los servidores afectados de estos países se encontraban alojados en proveedores de alojamiento como OVHcloud y Hetzner.
«¡Alerta de seguridad! Hemos hackeado su empresa con éxito… Envíe el dinero en tres días, de lo contrario expondremos algunos datos y subiremos el precio»
Este era el mensaje de rescate que se emitió a las víctimas del ciberataque, pero, según DarkFeed, “había que enviar 23.000 dólares a un monedero bitcoin que era diferente en cada nota de rescate; no había página web del grupo, solo TOX id”, afirmaba la empresa de ciberseguridad.
Estados Unidos, por su parte, afirma que están evaluando el impacto de los incidentes reportados, con “CISA trabajando con nuestros socios del sector público y privado para evaluar los impactos de estos incidentes reportados y proporcionar asistencia cuando sea necesario», indicaba la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EEUU en una nota de prensa según informaba el medio Reuters.
“Los países desarrollados suelen ser el blanco más frecuente de los ataques de ransomware”
Rahul Sasi, cofundador y CEO de CloudSEK, empresa de ciberseguridad, afirma que los países más desarrollados son el objetivo perfecto para los ciberdelincuentes ya que tienen más recursos, así como bitcoins, lo que les hace ser “más propensos a pagar las peticiones de rescate”.
«Estos países también tienden a tener una mayor densidad de objetivos valiosos, como grandes empresas y organismos gubernamentales, que pueden verse afectados por un ataque exitoso. Además, los países desarrollados suelen tener una infraestructura tecnológica más avanzada, lo que los convierte en un objetivo más atractivo para los ciberdelincuentes que buscan explotar vulnerabilidades”, finalizaba Sasi.
Zepo, tu aliado en ciberseguridad
Da de alta a tus empleados.
Puedes hacerlo de forma manual o a través de un CSV
Lanza ataques y pon a prueba a tus equipos.
Podrás comprobar en tiempo real quiénes caen en la trampa
Fórmales en prevención de ciberataques.
Crea cursos personalizados en materia de prevención