Despu\u00e9s de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) lanzara un descifrador para que las v\u00edctimas afectadas se recuperaran de los ataques de ransomware ESXiArgs, los actores de amenazas se recuperaron con una versi\u00f3n actualizada que cifra m\u00e1s datos.<\/p>\n
La aparici\u00f3n de la nueva variante fue reportado<\/a> por un administrador del sistema en un foro en l\u00ednea, donde otro participante afirm\u00f3 que los archivos de m\u00e1s de 128 MB tendr\u00e1n el 50% de sus datos encriptados, lo que hace que el proceso de recuperaci\u00f3n sea m\u00e1s desafiante.<\/p>\n Otro cambio notable es la eliminaci\u00f3n de la direcci\u00f3n de Bitcoin de la nota de rescate, y los atacantes ahora instan a las v\u00edctimas a contactarlos en Tox para obtener la informaci\u00f3n de la billetera.<\/p>\n Los actores de amenazas “se dieron cuenta de que los investigadores estaban rastreando sus pagos, y es posible que incluso supieran antes de lanzar el ransomware que el proceso de cifrado en la variante original era relativamente f\u00e1cil de eludir”, Censys dicho<\/a> en un escrito.<\/p>\n “En otras palabras: est\u00e1n mirando”.<\/p>\n Estad\u00edsticas compartidas por la plataforma de colaboraci\u00f3n abierta Ransomwhere revelar<\/a> que hasta 1252 servidores han sido infectados por la nueva versi\u00f3n de ESXiArgs al 9 de febrero de 2023, de los cuales 1168 son reinfecciones.<\/p>\n Desde el comienzo del brote de ransomware a principios de febrero, m\u00e1s de 3800 hosts \u00fanicos se han visto comprometidos. A mayor\u00eda<\/a> de las infecciones se encuentran en Francia, EE. UU., Alemania, Canad\u00e1, Reino Unido, Pa\u00edses Bajos, Finlandia, Turqu\u00eda, Polonia y Taiw\u00e1n.<\/p>\n ESXiArgs, como Cheerscrypt y PrideLocker<\/a>se basa en el casillero Babuk, que ten\u00eda su c\u00f3digo fuente filtrado<\/a> en septiembre 2021<\/a>. Pero un aspecto crucial que lo diferencia de otras familias de ransomware es la ausencia de un sitio de fuga de datos, lo que indica que no se est\u00e1 ejecutando en un ransomware como servicio<\/a> (RaaS<\/a>) modelo.<\/p>\n “Los rescates se fijan en poco m\u00e1s de dos bitcoins (47.000 d\u00f3lares estadounidenses) y las v\u00edctimas tienen tres d\u00edas para pagar”, empresa de ciberseguridad Intel471 dicho<\/a>.<\/p>\n Si bien inicialmente se sospech\u00f3 que las intrusiones involucraban el abuso de un error de OpenSLP de dos a\u00f1os y ahora parcheado en VMware ESXi (CVE-2021-21974), se informaron compromisos en dispositivos que tienen el protocolo de descubrimiento de red deshabilitado.<\/p>\n Desde entonces, VMware ha dicho que no ha encontrado evidencia que sugiera que se est\u00e9 utilizando una vulnerabilidad de d\u00eda cero en su software para propagar el ransomware.<\/p>\n Esto indica que los actores de amenazas detr\u00e1s de la actividad pueden estar aprovechando varias vulnerabilidades conocidas<\/a> en ESXi para su ventaja, por lo que es imperativo que los usuarios se muevan r\u00e1pidamente para actualizar a la \u00faltima versi\u00f3n. Los ataques a\u00fan no se han atribuido a un actor o grupo de amenazas conocido.<\/p>\n “Seg\u00fan la nota de rescate, la campa\u00f1a est\u00e1 vinculada a un \u00fanico actor o grupo de amenazas”, Arctic Wolf se\u00f1al\u00f3<\/a>. “Los grupos de ransomware m\u00e1s establecidos suelen realizar OSINT en v\u00edctimas potenciales antes de realizar una intrusi\u00f3n y establecen el pago del rescate en funci\u00f3n del valor percibido”.<\/p>\n![\"ransomware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/02\/1676130031_563_Nueva-variante-de-ransomware-ESXiArgs-surge-despues-de-que-CISA.png\" "\\"ransomware")
<\/div>\n![\"ransomware](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj1PSW59JDUuhHt5tgaajAgA7zu_olzFdJk9dUmf6O5ApU-czoAOzFTCC-_P6L_9reMfJcGPN_x3V2uTitwWjCPDeek87h-ZY-g6jXbymo2rk9JbF2ixlE1g_-3N6gyBQMB2vajdBikLqTZSuSN8NGjx94FKKX3PkJvPFQiypddw3d5DffaqI7N42uQ\/s728-e3650\/HACKING.png\" "\\"ransomware")
<\/div>\n