Ataque masivo de 'ransomware' contra servidores VMware ESXi en todo el mundo
Los organismos de ciberseguridad de todo el mundo (incluidos los de España, Italia, Francia, Estados Unidos y Singapur) han emitido alertas sobre un ataque de ransomware dirigido al hipervisor VMware ESXi.
Un ataque global de ransomware ha afectado a miles de servidores que ejecutan el hipervisor VMware ESxi, y se espera que muchos más servidores se vean afectados, según las agencias nacionales de ciberseguridad y expertos en seguridad de todo el mundo. El Equipo de Respuesta a Emergencias Informáticas de Francia (CERT-FR) fue el primero en darse cuenta y enviar una alerta sobre el ataque. "El 3 de febrero, el CERT-FR tuvo conocimiento de campañas de ataque dirigidas a hipervisores VMware ESXi con el objetivo de desplegar ransomware en ellos", escribió el CERT-FR.
Otras agencias nacionales de ciberseguridad, como las de España, Italia, Estados Unidos, Francia y Singapur también han emitido alertas sobre el ataque. Según los informes, se han visto comprometidos servidores en España, Francia, Alemania, Finlandia, Estados Unidos y Canadá.
En España en concreto, el CCN-CERT, del Centro Criptológico Nacional, en su aviso sobre esta campaña de explotación de vulnerabilidades explica que estos ataques aprovechan una vulnerabilidad descubierta el año 2021, catalogada bajo el CVE-2021-21974, y notificada por la compañía en su respectivo aviso de seguridad. "Varios investigadores de seguridad afirman que podría haber más de 3.200 servidores comprometidos, afectando a sistemas pertenecientes a distintas organizaciones ubicadas en varias partes del mundo, destacando Italia, Francia, Finlandia, EE. UU y Canadá. El fabricante publicó una actualización de seguridad que soluciona el fallo", reza la alerta.
La entidad expone que la base de datos del NIST ha registrado la vulnerabilidad descrita, asignándole una puntuación de acuerdo a la escala CVSSv3 de 8.8. Recuerda también que VMware ha calificado esta vulnerabilidad descubierta el pasado año 2021 como alta. "Hasta la fecha, se conocen varios ataques de tipo ransomware que han afectado a varios países, en concreto servidores que no se actualizaron cuando se hizo pública la vulnerabilidad. Por otro lado, se encuentra pública una prueba de concepto (PoC) con los detalles de la vulnerabilidad reportada: VMware ESXi OpenSLP Heap Overflow".
Las vulnerabilidades reportadas, indica, afectan a las siguientes versiones: versiones de VMware ESXi 7.x anteriores a ESXi70U1c-17325551; versiones de ESXi 6.7x anteriores a ESXi670-20212401-SG; y versiones de ESXi 6.5.x anteriores a ESXi650-202102101-SG.
VMware ya ha publicado el parche de seguridad
VMware ya ha publicado el parche correspondiente para corregir la vulnerabilidad en los productos afectados. En realidad, como es una vulnerabilidad descubierta en el pasado, ya existe una solución desde el 23 de febrero de 2021. "Por lo tanto, si no se ha hecho con anterioridad, se recomienda aplicar el parche correspondiente lo antes posible, debido a la explotación de manera activa de la vulnerabilidad", recomiendan desde el CCN-CERT, que también recomienda "encarecidamente" a los usuarios y administradores de sistemas que realicen la actualización mencionada con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Francia y Alemania, los países más afectados
Según el proveedor de ciberseguridad DarkFeed, en Europa, Francia y Alemania son los países más afectados por el ataque. La mayoría de los servidores afectados en Francia y Alemania estaban alojados en proveedores de alojamiento como OVHcloud y Hetzner, respectivamente, según DarkFeed.
Una nota de rescate emitida a las víctimas del ataque publicada públicamente por DarkFeed decía en parte: "¡Alerta de seguridad! Hemos hackeado su empresa con éxito ... Envíe el dinero en tres días, de lo contrario expondremos algunos datos y subiremos el precio".
La nota citada por DarkFeed decía que había que enviar unos 23.000 dólares a un monedero bitcoin, pero aparentemente el actor de la amenaza está utilizando diferentes monederos para cobrar. "Lo interesante es que la cartera bitcoin es diferente en cada nota de rescate. No hay página web del grupo, sólo TOX id", afirma DarkFeed.
En Estados Unidos, las agencias estadounidenses han asegurado que están evaluando el impacto de los incidentes reportados. "CISA está trabajando con nuestros socios del sector público y privado para evaluar los impactos de estos incidentes reportados y proporcionar asistencia cuando sea necesario", apunta la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. en una nota a los medios, según Reuters.
Los países desarrollados, el blanco de los atacantes de ransomware
"Los países desarrollados suelen ser el blanco más frecuente de los ataques de ransomware porque tienen más recursos y acceso a bitcoins y son más propensos a pagar las peticiones de rescate", según Rahul Sasi, cofundador y CEO de la empresa de ciberseguridad CloudSEK.
"Estos países también tienden a tener una mayor densidad de objetivos valiosos, como grandes empresas y organismos gubernamentales, que pueden verse afectados por un ataque exitoso. Además, los países desarrollados suelen tener una infraestructura tecnológica más avanzada, lo que los convierte en un objetivo más atractivo para los ciberdelincuentes que buscan explotar vulnerabilidades", añade Sasi.
