Acorde a un reciente reporte, al menos un importante grupo de operadores de ransomware está explotando un conjunto de vulnerabilidades en VMware ESXi para comprometer las máquinas virtuales instaladas en entornos empresariales con el fin de inyectar el malware y cifrar los sistemas afectados. La comunidad de la ciberseguridad cree que estos ataques están vinculados a los operadores de la variante de malware RansomExx (también conocidos como Defray777) y que han estado activos desde octubre pasado.
Estos ataques involucran la explotación de CVE-2019-5544 y CVE-2020-3992, dos fallas en la antes mencionada solución de hipervisor que permite que diversas máquinas virtuales compartan el mismo almacenamiento en disco duro. Las dos fallas residen en el Protocolo de Ubicación de Servicios (SLP), utilizado por dispositivos en la misma red para descubrirse entre sí.
El reporte menciona que la explotación exitosa de estas fallas permitiría a los actores de amenazas remotos en la misma red enviar solicitudes SLP maliciosas a un dispositivo ESXi con el fin de tomar control sobre esta solución incluso si los atacantes no han comprometido el servidor VMware vCentral, del que suelen depender las implementaciones de ESXi.
A partir del análisis de los incidentes reportados, los investigadores concluyeron que este grupo de hackers busca obtener acceso a un dispositivo conectado a una red corporativa, explotando este punto de entrada para desplegar el ransomware hacia las instancias ESXi locales y comprometer los discos duros virtuales, generando caos en las organizaciones comprometidas que se ven imposibilitadas para acceder a sus máquinas virtuales.
Múltiples administradores de sistemas han reportado estos incidentes en plataformas como Reddit o Twitter, incluso llegando a organizar conferencias virtuales para alertar a la comunidad sobre este riesgo.
Aunque todos los ataques reportados hasta ahora se han vinculado al grupo RansomExx, hace unas semanas los operadores del ransomware Babuk Locker afirmaban estar empleando una característica similar, aunque no se han reportado ataques exitosos a cargo de este grupo.
Los especialistas en ciberseguridad también reportan la detección de la venta de acceso a instancias ESXi comprometidas en diversos foros de hacking ilegal. Debido a que los operadores de ransomware a menudo trabajan con agentes de acceso inicial para sus puntos de entrada iniciales dentro de las organizaciones, esto también podría explicar por qué ESXi estuvo vinculado a algunos ataques de ransomware el año pasado.
Los especialistas recomiendan a los administradores de sistemas de las empresas que dependen de VMWare ESXi para administrar el espacio de almacenamiento utilizado por sus máquinas virtuales que apliquen las actualizaciones de ESXi necesarias. Inhabilitar el soporte SLP para evitar ataques también es recomendable.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.