Después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) lanzara un descifrador para que las víctimas afectadas se recuperaran de los ataques de ransomware ESXiArgs, los actores de amenazas se recuperaron con una versión actualizada que cifra más datos.
La aparición de la nueva variante fue reportado por un administrador del sistema en un foro en línea, donde otro participante afirmó que los archivos de más de 128 MB tendrán el 50% de sus datos encriptados, lo que hace que el proceso de recuperación sea más desafiante.
Otro cambio notable es la eliminación de la dirección de Bitcoin de la nota de rescate, y los atacantes ahora instan a las víctimas a contactarlos en Tox para obtener la información de la billetera.
Los actores de amenazas «se dieron cuenta de que los investigadores estaban rastreando sus pagos, y es posible que incluso supieran antes de lanzar el ransomware que el proceso de cifrado en la variante original era relativamente fácil de eludir», Censys dicho en un escrito.
«En otras palabras: están mirando».
Estadísticas compartidas por la plataforma de colaboración abierta Ransomwhere revelar que hasta 1252 servidores han sido infectados por la nueva versión de ESXiArgs al 9 de febrero de 2023, de los cuales 1168 son reinfecciones.
Desde el comienzo del brote de ransomware a principios de febrero, más de 3800 hosts únicos se han visto comprometidos. A mayoría de las infecciones se encuentran en Francia, EE. UU., Alemania, Canadá, Reino Unido, Países Bajos, Finlandia, Turquía, Polonia y Taiwán.
ESXiArgs, como Cheerscrypt y PrideLockerse basa en el casillero Babuk, que tenía su código fuente filtrado en septiembre 2021. Pero un aspecto crucial que lo diferencia de otras familias de ransomware es la ausencia de un sitio de fuga de datos, lo que indica que no se está ejecutando en un ransomware como servicio (RaaS) modelo.
«Los rescates se fijan en poco más de dos bitcoins (47.000 dólares estadounidenses) y las víctimas tienen tres días para pagar», empresa de ciberseguridad Intel471 dicho.
Si bien inicialmente se sospechó que las intrusiones involucraban el abuso de un error de OpenSLP de dos años y ahora parcheado en VMware ESXi (CVE-2021-21974), se informaron compromisos en dispositivos que tienen el protocolo de descubrimiento de red deshabilitado.
Desde entonces, VMware ha dicho que no ha encontrado evidencia que sugiera que se esté utilizando una vulnerabilidad de día cero en su software para propagar el ransomware.
Esto indica que los actores de amenazas detrás de la actividad pueden estar aprovechando varias vulnerabilidades conocidas en ESXi para su ventaja, por lo que es imperativo que los usuarios se muevan rápidamente para actualizar a la última versión. Los ataques aún no se han atribuido a un actor o grupo de amenazas conocido.
«Según la nota de rescate, la campaña está vinculada a un único actor o grupo de amenazas», Arctic Wolf señaló. «Los grupos de ransomware más establecidos suelen realizar OSINT en víctimas potenciales antes de realizar una intrusión y establecen el pago del rescate en función del valor percibido».
Empresa de ciberseguridad Rapid7 dicho Encontró 18 581 servidores ESXi con acceso a Internet que son vulnerables a CVE-2021-21974, y agregó que los actores de RansomExx2 se dirigieron de manera oportunista a servidores ESXi susceptibles.
«Si bien el impacto económico de esta brecha en particular puede parecer bajo, los atacantes cibernéticos continúan afectando a las organizaciones mediante la muerte por miles de cortes», dijo Tony Lauro, director de tecnología y estrategia de seguridad de Akamai.
«El ransomware ESXiArgs es un excelente ejemplo de por qué los administradores de sistemas necesitan implementar parches rápidamente después de que se publiquen, así como de lo lejos que llegarán los atacantes para que sus ataques tengan éxito. Sin embargo, los parches son solo una línea de defensa para depender de.»