Nueva operación de ransomware como servicio (RaaS) llamada «MichaelKors» dirigida a sistemas Linux y VMware ESXi.

Comparte este post

El informe de la empresa de ciberseguridad CrowdStrike indica que ha surgido una nueva operación de ransomware como servicio (RaaS) llamada MichaelKors, que se dirige a sistemas Linux y VMware ESXi desde abril de 2023.

Este desarrollo muestra que los ciberdelincuentes están cada vez más interesados en atacar ESXi, según informó CrowdStrike a The Hacker News.

«Este fenómeno es especialmente notable dado que, por diseño, ESXi no admite agentes de terceros ni software antivirus», afirmó la empresa.

«De hecho, VMware llega al extremo de afirmar que no son necesarios. Esto, junto con la popularidad de ESXi como sistema de virtualización y gestión ampliamente utilizado, lo convierte en un objetivo muy atractivo para los adversarios modernos».

Al dirigir ransomware a los hipervisores VMware ESXi para escalar tales campañas es una técnica conocida como «jackpotting» de hipervisores. A lo largo de los años, esta estrategia ha sido adoptada por varios grupos de ransomware, incluyendo Royal.

Además, un análisis realizado por SentinelOne la semana pasada reveló que 10 familias diferentes de ransomware, incluyendo Conti y REvil, han utilizado el código fuente filtrado de Babuk en septiembre de 2021 para desarrollar bloqueadores para los hipervisores VMware ESXi.

Otros grupos delictivos destacados que han actualizado su arsenal para atacar ESXi incluyen a ALPHV (BlackCat), Black Basta, Defray, ESXiArgs, LockBit, Nevada, Play, Rook y Rorschach.

Una de las razones por las cuales los hipervisores VMware ESXi se están convirtiendo en un objetivo atractivo es que el software se ejecuta directamente en un servidor físico, lo que otorga a un posible atacante la capacidad de ejecutar binarios ELF maliciosos y obtener acceso irrestricto a los recursos subyacentes de la máquina.

Los atacantes que intentan comprometer los hipervisores ESXi pueden hacerlo utilizando credenciales comprometidas, seguidas de la obtención de privilegios elevados y luego moviéndose lateralmente a través de la red o escapando del entorno a través de fallos conocidos para avanzar en sus objetivos.

VMware, en un artículo de su base de conocimientos actualizado por última vez en septiembre de 2020, señala que «no se requiere software antivirus con el hipervisor vSphere y el uso de dicho software no está soportado».

«Cada vez más actores de amenazas reconocen que la falta de herramientas de seguridad, la falta de segmentación adecuada de la red de interfaces ESXi y las vulnerabilidades existentes en ESXi crean un entorno propicio para el ataque», afirmó CrowdStrike.

Los actores de ransomware están lejos de ser los únicos en atacar la infraestructura virtual. En marzo de 2023, Mandiant, propiedad de Google, atribuyó a un grupo estatal chino el uso de nuevas puertas traseras llamadas VIRTUALPITA y VIRTUALPIE en ataques dirigidos a servidores VMware ESXi.

Para mitigar el impacto del «jackpotting» de hipervisores, se recomienda a las organizaciones evitar el acceso directo a los hosts ESXi, habilitar la autenticación de dos factores, realizar copias de seguridad periódicas de los volúmenes del datastore de ESXi, aplicar actualizaciones de seguridad y realizar revisiones de la postura de seguridad.

«Es probable que los adversarios continúen dirigiéndose a la infraestructura de virtualización basada en VMware», advirtió CrowdStrike. «Esto plantea una preocupación importante a medida que más organizaciones trasladan cargas de trabajo e infraestructura a entornos en la nube, todos a través de entornos de hipervisor VMWare».

Fuente: May 15, 2023 Ravie Lakshman.

Más artículos

¿Necesitas asistencia inmediata?

Si eres víctima de un ciberataque contáctanos por WhatsApp, llamada o por correo electrónico, nuestro equipo está disponible y te brindará apoyo inmediatamente.

¿Te gustaría un diagnóstico de lo que necesitas?

Industria gubernamental

¿Te gustaría un diagnóstico de lo que necesitas?

Industria marítima

¿Te gustaría un diagnóstico de lo que necesitas?

Industria bancaria

¿Te gustaría un diagnóstico de lo que necesitas?

Industria hospitalaria

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Concientización

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Seguridad en la nube

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Comunicaciones seguras

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Ciberseguridad organizacional

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Consultoría y soporte de respuesta a incidentes

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Soluciones para crisis de ciberseguridad

ESCRÍBENOS

Déjanos tus datos y te contactaremos a la brevedad para resolver tus dudas, conocer las necesidades de tu organización y poder realizar una propuesta personalizada.

Book Your Free Session Now

Fill in the form below to book a 30 min no-obligation consulting session.

I will reply within 24 hours.