Más de 500 hosts se han visto comprometidos en masa por la cepa de ransomware ESXiArgs, la mayoría de los cuales se encuentran en Francia, Alemania, los Países Bajos, el Reino Unido y Ucrania.
El recomendaciones proceden de la empresa de gestión de superficie de ataque Censys, que descubierto «dos hosts con notas de rescate sorprendentemente similares que datan de mediados de octubre de 2022, justo después de que las versiones 6.5 y 6.7 de ESXi llegaran al final de su vida útil».
El primer conjunto de infecciones se remonta al 12 de octubre de 2022, mucho antes que cuando la campaña comenzó a cobrar fuerza a principios de febrero de 2023. Luego, el 31 de enero de 2023, se dice que se actualizaron las notas de rescate en los dos hosts. con una versión revisada que coincide con las utilizadas en la ola actual.
Algunas de las diferencias cruciales entre las dos notas de rescate incluyen el uso de una URL de cebolla en lugar de una ID de chat de Tox, una dirección de Proton Mail en la parte inferior de la nota y una demanda de rescate más baja (1,05 Bitcoin frente a 2,09 Bitcoin).
«Cada variante de las notas de rescate desde octubre de 2022 hasta febrero de 2023 son sorprendentemente similares en redacción a la nota de una variante de ransomware anterior, Cheerscrypt, que ganó notoriedad a principios de 2022», dijeron los investigadores Mark Ellzey y Emily Austin.
Vale la pena señalar que se sospecha que ESXiArgs se basa en el código de ransomware Babuk filtrado, que también generó otras variantes como Cheerscrypt y PrideLocker el año pasado.
El desarrollo se produce menos de una semana después de que los actores de amenazas regresaran con una nueva variante que modifica el método de cifrado y la nota de rescate luego del lanzamiento de un descifrador para ayudar a recuperar los sistemas infectados.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha declarado desde entonces que los atacantes «probablemente se dirijan a servidores ESXi al final de su vida útil o servidores ESXi que no tienen aplicados los parches de software ESXi disponibles».
“La vulnerabilidad en VMWare ESXi es un claro recordatorio de la importancia de mantener los sistemas actualizados con los últimos parches de seguridad y, al mismo tiempo, emplear una sólida defensa del perímetro», Martin Zugec de Bitdefender. dicho.
«Los atacantes no necesitan buscar nuevos exploits o técnicas novedosas cuando saben que muchas organizaciones son vulnerables a exploits anteriores debido, en parte, a la falta de una gestión adecuada de parches y riesgos».
El pico también coincide con un 87% de aumento año tras año en ataques de ransomware dirigidos a organizaciones industriales en 2022, con 437 de 605 ataques en el sector manufacturero, según un nuevo reporte de Dragos, en parte impulsado por la evolución continua en los modelos de ransomware-as-a-service (RaaS).
Los datos recopilados por la firma de seguridad industrial revelan que 189 ataques de ransomware se informaron solo en el último trimestre de 2022. Los principales verticales objetivo incluyeron manufactura (143), alimentos y bebidas (15), energía (14), farmacéutica (9), petróleo y gas (4) y minería (1).