Una nueva operación de ransomware como servicio (RaaS) llamada MichaelKors se ha convertido en el malware de cifrado de archivos más reciente para apuntar a Linux y Sistemas VMware ESXi a partir de abril de 2023.
El desarrollo apunta a que los ciberdelincuentes ponen cada vez más sus ojos en el ESXi, dijo la firma de ciberseguridad CrowdStrike en un informe compartido con The Hacker News.
«Esta tendencia es especialmente notable dado el hecho de que ESXi, por diseño, no es compatible con agentes de terceros o software AV», dijo la compañía.
«De hecho, VMware llega incluso a afirmar que no es necesario. Esto, combinado con la popularidad de ESXi como un sistema de administración y virtualización popular y generalizado, hace que el hipervisor sea un objetivo muy atractivo para los adversarios modernos».
El orientación de hipervisores VMware ESXi con ransomware para escalar tales campañas es una técnica conocida como jackpot de hipervisor. A lo largo de los años, el enfoque ha sido adoptado por varios grupos de ransomware, incluido Royal.
Además, un análisis de SentinelOne la semana pasada reveló que 10 familias de ransomware diferentes, incluidas Conti y REvil, utilizaron el código fuente filtrado de Babuk en septiembre de 2021 para desarrollar casilleros para hipervisores VMware ESXi.
Otros equipos notables de ciberdelincuencia que han actualizado su arsenal para apuntar a ESXi son ALPHV (BlackCat), Black Basta, Defray, ESXiArgs, LockBit, NevadaPlay, Torre y Rorschach.
Parte de la razón por la que los hipervisores VMware ESXi se están convirtiendo en un objetivo atractivo es que el software se ejecuta directamente en un servidor físico, lo que otorga a un atacante potencial la capacidad de ejecutar binarios ELF maliciosos y obtener acceso sin restricciones a los recursos subyacentes de la máquina.
Los atacantes que buscan violar los hipervisores ESXi pueden hacerlo usando credenciales comprometidas, y luego obteniendo privilegios elevados y moviéndose lateralmente a través de la red o escapando de los límites del entorno a través de fallas conocidas para promover sus motivos.
VMware, en un artículo de la base de conocimientos actualizado por última vez en septiembre de 2020, señala que «no se requiere software antivirus con vSphere Hypervisor y no se admite el uso de dicho software».
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
«Cada vez más actores de amenazas reconocen que la falta de herramientas de seguridad, la falta de una segmentación de red adecuada de las interfaces ESXi y [in-the-wild] vulnerabilidades para ESXi crea un entorno rico en objetivos», dijo CrowdStrike.
Los actores de ransomware son de los únicos equipos que atacan la infraestructura virtual. En marzo de 2023, Mandiant, propiedad de Google, atribuyó a un grupo estatal chino el uso de puertas traseras novedosas denominadas VIRTUALPITA y VIRTUALPIE en ataques dirigidos a servidores VMware ESXi.
Para mitigar el impacto del jackpotting del hipervisor, se recomienda a las organizaciones que eviten el acceso directo a los hosts ESXi, habiliten la autenticación de dos factores, realicen copias de seguridad periódicas de los volúmenes del almacén de datos ESXi, apliquen actualizaciones de seguridad y realicen revisiones de la postura de seguridad.
«Es probable que los adversarios continúen apuntando a la infraestructura de virtualización basada en VMware», dijo CrowdStrike. «Esto plantea una gran preocupación a medida que más organizaciones continúan transfiriendo cargas de trabajo e infraestructura a entornos de nube, todo a través de entornos VMWare Hypervisor».