Los administradores, los proveedores de alojamiento y el equipo francés de respuesta a emergencias informáticas (CERT-FR) advierten que los atacantes apuntan activamente a los servidores VMware ESXi sin parches contra una vulnerabilidad de ejecución remota de código de dos años de antigüedad para implementar ransomware.
Rastreada como CVE-2021-21974 , la falla de seguridad es causada por un problema de desbordamiento de pila el servicio OpenSLP que puede ser explotado por usuarios no autenticados en ataques de baja complejidad.
«Como investigaciones actuales, estas campañas de ataque parecen estar explotando la vulnerabilidad CVE-2021-21974, para la cual hay un parche disponible desde el 23 de febrero de 2021», dijo CERT-FR.
«Los sistemas objetivo actualmente serían los hipervisores ESXi en la versión 6.x y anteriores a la 6.7».
Para bloquear los ataques entrantes, los administradores deben deshabilitar el servicio vulnerable del Protocolo de ubicación de servicios (SLP) en los hipervisores ESXi que aún no se han actualizado, como se indica en el siguiente enlace: https://kb.vmware.com/s/article/76372
CERT-FR recomienda encarecidamente aplicar las últimas actualizaciones de VMware ¿lo antes posible, pero agrega que los sistemas que no se hayan parcheado también deben escanearse para buscar signos de compromiso.
CVE-2021-21974 afecta a los siguientes sistemas:
- Versiones de ESXi 7.x anteriores a ESXi70U1c-17325551
- Versiones de ESXi 6.7.x anteriores a ESXi670-202102401-SG
- Versiones de ESXi 6.5.x anteriores a ESXi650-202102101-SG
El proveedor de nube OVHcloud también ha publicado hoy un informe que vincula esta ola masiva de ataques dirigidos a servidores VMware ESXi con la operación de ransomware de Nevada.
«Según los expertos y las autoridades, podrían estar relacionados con el ransomware de Nevada y están utilizando CVE-2021-21974 como vector de compromiso. La investigación aún está en curso para confirmar esas suposiciones», dijo el CISO de OVHcloud, Julien Levrard .
«El ataque está dirigido principalmente a servidores ESXi en una versión anterior a 7.0 U3i, aparentemente a través del puerto OpenSLP (427)».
Al menos 120 servidores VMware ESXi en todo el mundo ya se han visto comprometidos en esta campaña de ransomware.
Nuevo ransomware ESXiArgs
Sin embargo, a partir de las notas de rescate vistas en este ataque, no parecen estar relacionadas con Nevada Ransomware y parecen ser de una nueva familia de ransomware.
Desde hace aproximadamente cuatro horas, las víctimas afectadas por esta campaña también han comenzado a denunciar los ataques en el foro de BleepingComputer, solicitando ayuda y más información sobre cómo recuperar sus datos.
El ransomware cifra los archivos con las extensiones .vmxf, .vmx, .vmdk, .vmsd y .nvram en servidores ESXi comprometidos y crea un archivo .args para cada documento cifrado con metadatos (probablemente necesarios para el descifrado).
Si bien los actores de amenazas detrás de este ataque afirman haber robado datos, una víctima informó en los foros de BleepingComputer que ese no fue el caso en su incidente.
«Nuestra investigación ha determinado que los datos no han sido infiltrados. En nuestro caso, la máquina atacada tenía más de 500 GB de datos, pero el uso diario típico de solo 2 Mbps. Revisamos las estadísticas de tráfico de los últimos 90 días y no encontramos evidencia de datos salientes. transferencia», dijo el administrador .
Las víctimas también han encontrado notas de rescate denominadas «ransom.html» y «recovery.html» en sistemas bloqueados. Otros dijeron que sus notas son archivos de texto sin formato.
Michael Gillespie de ID Ransomware actualmente está rastreando el ransomware bajo el nombre ‘ ESXiArgs ‘, pero le dijo a BleepingComputer que hasta que podamos encontrar una muestra, no hay forma de determinar si tiene alguna debilidad en el cifrado.
Esta es una historia en desarrollo y se actualizará con nueva información a medida que esté disponible…
