Los ataques de ransomware explotan las vulnerabilidades de VMware ESXi en un patrón alarmante.

Por:


Los ataques de ransomware que apuntan a la infraestructura de VMware ESXi siguen un patrón establecido independientemente del malware de cifrado de archivos desplegado.

“Las plataformas de virtualización son un componente fundamental de la infraestructura informática organizativa, sin embargo, a menudo sufren de configuraciones erróneas y vulnerabilidades inherentes, lo que las convierte en un objetivo lucrativo y altamente efectivo para que los actores de amenazas abusen de ellas”, dijo la empresa de ciberseguridad Sygnia en un informe compartido con The Hacker News.

La compañía israelí, a través de sus esfuerzos de respuesta a incidentes que involucran diversas familias de ransomware como LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat y Cheerscrypt, encontró que los ataques a entornos de virtualización siguen una secuencia similar de acciones.

Esto incluye los siguientes pasos –

  • Obtener acceso inicial mediante ataques de phishing, descargas de archivos maliciosos y explotación de vulnerabilidades conocidas en activos expuestos a Internet
  • Escalar sus privilegios para obtener credenciales de hosts de ESXi o vCenter utilizando ataques de fuerza bruta u otros métodos
  • Validar su acceso a la infraestructura de virtualización y desplegar el ransomware
  • Eliminar o cifrar sistemas de respaldo, o en algunos casos, cambiar las contraseñas, para complicar los esfuerzos de recuperación
  • Exfiltrar datos a ubicaciones externas como Mega.io, Dropbox o sus propios servicios de alojamiento
  • Propagar el ransomware a servidores y estaciones de trabajo no virtualizados para ampliar el alcance del ataque

Para mitigar los riesgos planteados por estas amenazas, se recomienda a las organizaciones asegurarse de tener monitoreo y registro adecuados, crear mecanismos de respaldo robustos, hacer cumplir medidas de autenticación sólidas, endurecer el entorno e implementar restricciones de red para evitar el movimiento lateral.

Ciberseguridad

El desarrollo, según la empresa de ciberseguridad Rapid7, advirtió sobre una campaña en curso desde principios de marzo de 2024 que emplea anuncios maliciosos en motores de búsqueda comúnmente utilizados para distribuir instaladores troyanizados de WinSCP y PuTTY a través de dominios typosquatted y finalmente instalar ransomware.

Estos instaladores falsos actúan como un conducto para dejar caer el kit de post-explotación Sliver, que luego se utiliza para entregar más cargas, incluido un Beacon de Cobalt Strike que se aprovecha para el despliegue de ransomware.

La actividad comparte solapamientos tácticos con ataques anteriores de ransomware BlackCat que han utilizado publicidad maliciosa como vector de acceso inicial como parte de una campaña recurrente que entrega el malware Nitrogen.

“La campaña afecta desproporcionadamente a los miembros de equipos de TI, que son los más propensos a descargar los archivos troyanizados mientras buscan versiones legítimas”, dijo el investigador de seguridad Tyler McGraw.

Ransomware Attacks

“La ejecución exitosa del malware proporciona al actor de amenazas una posición elevada y dificulta el análisis al desdibujar las intenciones de las acciones administrativas posteriores.”

La divulgación también sigue a la aparición de nuevas familias de ransomware como Beast, MorLock, Synapse y Trinity, siendo el grupo MorLock uno de los más activos, yendo tras empresas rusas y cifrando archivos sin exfiltrarlos primero.

“Para la restauración del acceso a los datos, los atacantes [MorLock] exigen un rescate considerable, cuyo tamaño puede ser de decenas y cientos de millones de rublos”, dijo el brazo ruso de Group-IB, F.A.C.C.T.

Según datos compartidos por NCC Group, los ataques globales de ransomware en abril de 2024 registraron una disminución del 15% con respecto al mes anterior, bajando de 421 a 356.

Destacadamente, abril de 2024 también marca el fin del reinado de ocho meses de LockBit como el grupo de amenazas con más víctimas, destacando sus luchas por mantenerse a flote tras una extensa intervención policial a principios de este año.

Ciberseguridad

“Sin embargo, LockBit 3.0 no fue el grupo de amenazas más prominente del mes y tuvo menos de la mitad de los ataques observados que en marzo”, dijo la compañía. “En cambio, Play fue el grupo de amenazas más activo, seguido de cerca por Hunters.”

La turbulencia en la escena del ransomware ha sido complementada por ciberdelincuentes que anuncian servicios de Acceso Virtual a Redes Ocultas (hVNC) y acceso remoto como Pandora y TMChecker que podrían ser utilizados para exfiltración de datos, despliegue de malware adicional y facilitar ataques de ransomware.

“Múltiples intermediarios de acceso inicial (IAB) y operadores de ransomware utilizan [TMChecker] para verificar datos comprometidos disponibles en busca de credenciales válidas para cuentas corporativas de VPN y correo electrónico”, dijo Resecurity.

“La subida simultánea de TMChecker es significativa porque reduce sustancialmente las barreras de costo para los actores de amenazas que buscan obtener acceso corporativo de alto impacto tanto para la explotación primaria como para la venta a otros adversarios en el mercado secundario.”





Fuente

Compartir:

Entradas relacionadas