Aviso de seguridad
Nivel de peligrosidad: Alto
Descripción
Una operación de ransomware como servicio (RaaS) recientemente descubierta llamada MichaelKors ha surgido como el último malware de cifrado de archivos dirigido a los sistemas Linux y VMware ESXi desde abril de 2023, según un informe de la firma de seguridad cibernética CrowdStrike.
Este desarrollo significa una tendencia creciente de los ciberdelincuentes que cambian su enfoque a ESXi, un sistema de administración y virtualización ampliamente utilizado. En particular, VMware ESXi no admite de forma nativa agentes de terceros ni software antivirus, lo que lo convierte en un objetivo atractivo para los adversarios modernos.
La táctica empleada para implementar ransomware en hipervisores VMware ESXi, conocida como jackpotting de hipervisor, ha sido empleada por varios grupos de ransomware. Además, un análisis reciente de SentinelOne reveló que diez familias diferentes de ransomware, como Conti y REvil, aprovecharon el código fuente filtrado de Babuk para desarrollar variantes diseñados específicamente para hipervisores VMware ESXi.
Un problema importante para los clientes de ESXi, es que el software no es compatible con productos antivirus de terceros. Además que los actores de amenazas están apuntando a vulnerabilidades conocidas en el software del hipervisor.
Recursos afectados
- VMware ESXi 6.5
- VMware ESXi 6.7
Recomendaciones
- Evitar el acceso directo a los hosts ESXi.
- Use un servidor de salto reforzado con autenticación multifactor.
- Asegúrese de que se realicen copias de seguridad periódicas de los volúmenes del almacén de datos de ESXi.
- Mantener actualizado el sistema
Referencias
Nuevo ransomware como servicio "MichaelKors" dirigido a sistemas Linux y VMware ESXi