Evidencian campañas de ransomware explotando vulnerabilidades de VMWare ESXi

Se ha evidenciado que ciberactores detrás de ransomware están explotando vulnerabilidades de VMWare ESXi para hacerse cargo de las máquinas virtuales implementadas en entornos empresariales y cifrar sus discos duros virtuales.

Esta campaña se ha relacionado con intrusiones llevadas a cabo por un grupo delictivo que implementó el ransomware RansomExx, utilizando CVE-2019-5544 y CVE-2020-3992, dos vulnerabilidades en VMware ESXi, que son una solución de hipervisor que permite que múltiples máquinas virtuales compartan el mismo almacenamiento de disco duro.

Ransomware RansomExx

RansomEXX es una variedad de ransomware relativamente nueva que se detectó por primera vez a mediados de junio de 2020. La versión de Linux del ransomware está construida como un ejecutable ELF llamado 'svc-new' que encripta el servidor del objetivo. Es importante mencionar que el RansomEXX es un ransomware operado por humanos, esto significa que los atacantes infectan manualmente los sistemas después de obtener acceso a la red objetivo.

Exploit CVE-2019-5544 y CVE-2020-3992 

Las vulnerabilidades CVE-2019-5544 y CVE-2020-3992 en VMware ESXi, remediadas en dic 2019 y oct 2020 respectivamente, impactan en el Protocolo de ubicación del servicio (SLP), residen en la implementación de código abierto OpenSLP del Protocolo de ubicación del servicio (SLP), que permite que el software ubique recursos en una red.

Nueva campaña evidenciada

En los ataques, se ha visto a la banda RansomExx obteniendo acceso a un dispositivo en una red corporativa y abusando de este punto de entrada inicial para atacar instancias ESXi locales y cifrar sus discos duros virtuales, que se utilizan para almacenar datos entre máquinas virtuales, lo que causa interrupciones masivas a las empresas, ya que los discos virtuales ESXi generalmente se utilizan para centralizar datos de muchos otros sistemas.

ZDNet informó que, solo los operadores del ransomware RansomExx están aprovechando los problemas anteriores, pero es consciente de que los operadores del ransomware Babuk Locker implementarán una cadena de ataque similar.

Se recomienda a los administradores del sistema que actualicen sus instalaciones de VMWare ESXi o deshabiliten la compatibilidad con SLP para protegerlas.

Panorama

Los ciberdelincuentes que están detrás de este tipo de campañas maliciosas, por lo general, buscan obtener ingresos económicos de forma rápida y con altas probabilidades de éxito, es por esto que se concentran en objetivos que tengan una infraestructura de seguridad inmadura o con vulnerabilidades conocidas que no hayan sido parchadas oportunamente por las organizaciones y que puedan ser explotadas con facilidad. Un claro ejemplo es el caso de las vulnerabilidades CVE-2019-5544 y CVE-2020-3992 en VMware ESXi cuyas remediaciones llevan mucho tiempo informadas. 

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.