Estos últimos días ha tenido lugar una campaña de ataque de ransomware que ha afectado a miles de servidores VMware ESXi en varios países, especialmente en Europa. Fue descubierto masiva y públicamente durante el primer fin de semana de febrero. Esta campaña, bautizada como ESXiArgs ransomware, parece explotar la vulnerabilidad CVE-2021-21974 para la que existe un parche disponible desde el 23 de febrero de 2021.
OpenSLP, tal y como se utiliza en ESXi, tiene una vulnerabilidad de desbordamiento de montículo (heap). Un actor malicioso que resida en el mismo segmento de red que ESXi y que tenga acceso al puerto 427 puede ser capaz de desencadenar el problema de desbordamiento de montículo (heap) en el servicio OpenSLP, lo que resulta en la ejecución remota de código.
¿Cuál es el origen del ataque?
La red mundial de honeypots de TEHTRIS, equipados con la tecnología XDR para atraer a los ciberdelincuentes, identificarlos y recopilar información sobre la forma en la que navegan por redes y servidores, ha observado que el ataque no se produjo este fin de semana por primera vez en la historia. La cronología, basada en datos recopilados desde el 1 de enero de 2023, muestra que ya hubo picos de ataques dirigidos al puerto 427 el 10 y el 24 de enero, antes de que volviera a aumentar a principios de febrero.
Es interesante observar que las 3 primeras IPs que accedieron al puerto 427 lo hicieron después de la alerta oficial francesa del 3 de febrero. Por otro lado, y antes del 3 de febrero, algunas de las IPs maliciosas monitorizadas por la red de honeypots de TEHTRIS, intentaron pasar desapercibidas. Esta baja señal realizada por atacantes más discretos podría ser la más peligrosa. En resumen, la mayoría de los ataques entrantes por el puerto 427 dirigidos a la parte oriental de EE.UU., la parte noreste de la región Asia-Pacífico y Europa Occidental están prácticamente al mismo nivel.
“La creciente sofisticación de los ataques de malware es el mayor obstáculo para la defensa. No sorprende, por lo tanto, que los investigadores en ciberseguridad adviertan que los ataques de ransomware seguirán evolucionando rápidamente. En este sentido, los cambios más significativos que hemos observado desde TEHTRIS en el último año son el resurgimiento de grupos que crean su ransomware y lo alquilan en modo Ransomware as a Service (RaaS) en el panorama cibernético, así como el aumento del ciberespionaje, debido sobre todo a los conflictos geopolíticos”, concluye Pedro Morcillo, Country Manager de TEHTRIS para España.