 |
Una nueva operación de ransomware como servicio (RaaS), llamada MichaelKors, se ha convertido en el malware de cifrado de archivos más reciente dirigido a sistemas Linux y VMware ESXi a partir de abril de 2023. Este desarrollo indica que los actores del cibercrimen están poniendo cada vez más su atención en ESXi, según informó la empresa de ciberseguridad CrowdStrike en un informe compartido con The Hacker News. |
"Esta tendencia es especialmente notable dado el hecho de que ESXi, por diseño, no admite agentes de terceros ni software antivirus", afirmó la empresa.
"De hecho, VMware va tan lejos como para afirmar que no es necesario. Esto, junto con la popularidad de ESXi como un sistema de virtualización y gestión extendido y popular, convierte al hipervisor en un objetivo altamente atractivo para los adversarios modernos".
El objetivo de los hipervisores VMware ESXi con ransomware para ampliar este tipo de campañas es una técnica conocida como jackpotting del hipervisor. A lo largo de los años, varios grupos de ransomware, incluido Royal, han adoptado este enfoque.
Además, un análisis de SentinelOne reveló la semana pasada que 10 familias de ransomware diferentes, incluidas Conti y REvil, han utilizado el código fuente filtrado de Babuk en septiembre de 2021 para desarrollar bloqueadores para los hipervisores VMware ESXi.
Otras destacadas organizaciones del cibercrimen que han actualizado su arsenal para atacar ESXi incluyen a ALPHV (BlackCat), Black Basta, Defray, ESXiArgs, LockBit, Nevada, Play, Rook y Rorschach.
Una de las razones por las que los hipervisores VMware ESXi se están convirtiendo en un objetivo atractivo es que el software se ejecuta directamente en un servidor físico, lo que otorga a un posible atacante la capacidad de ejecutar binarios ELF maliciosos y obtener acceso sin restricciones a los recursos subyacentes de la máquina.
Los atacantes que buscan vulnerar los hipervisores ESXi pueden hacerlo utilizando credenciales comprometidas, seguido de la obtención de privilegios elevados y, posteriormente, moviéndose lateralmente a través de la red o escapando del entorno mediante fallas conocidas para avanzar en sus objetivos.
En un artículo de la base de conocimientos actualizado por última vez en septiembre de 2020, VMware señala que "no se requiere software antivirus con el hipervisor vSphere y el uso de dicho software no está respaldado".
"Cada vez más actores de amenazas están reconociendo que la falta de herramientas de seguridad, la falta de segmentación de red adecuada de las interfaces de ESXi y las vulnerabilidades en el entorno crean un entorno propicio para el ataque", dijo CrowdStrike.
Los actores de ransomware están lejos de ser los únicos en atacar la infraestructura virtual. En marzo de 2023, Mandiant, propiedad de Google, atribuyó a un grupo estatal chino el uso de nuevas puertas traseras denominadas VIRTUALPITA y VIRTUALPIE en ataques dirigidos a servidores VMware ESXi.
Para mitigar el impacto del jackpotting del hipervisor, se recomienda a las organizaciones evitar el acceso directo a los hosts ESXi, habilitar la autenticación de dos factores, realizar copias de seguridad periódicas de los volúmenes del datastore de ESXi, aplicar actualizaciones de seguridad y realizar revisiones de la postura de seguridad.
"Es probable que los adversarios continúen atacando la infraestructura de virtualización basada en VMware", dijo CrowdStrike. "Esto plantea una preocupación importante a medida que más organizaciones siguen trasladando cargas de trabajo e infraestructura a entornos en la nube, todo a través de entornos de hipervisor de VMWare".
Actualización
VMware, en una actualización compartida el 15 de mayo de 2023, describió el artículo de la base de conocimientos como "obsoleto y se debe considerar como desaprobado", afirmando que planea actualizarlo con "información actual" en el futuro.
Fuente: https://thehackernews.com/2023/05/new-michaelkors-ransomware-as-service.html