ESXiArgs ransomware y cómo HostZealot está tratando con el tema

Esto no significa que estés a salvo si aún no se ha visto afectado por esta vulnerabilidad. Es mejor proteger sus máquinas virtuales con antelación utilizando los parches publicados por HostZealot en su base de conocimientos. En esta página encontrará instrucciones detalladas sobre la aplicación de parches para diferentes versiones de VMware ESXi. Toda la información está disponible en:

https://my.hostzealot.com/knowledgebase/848/VMware-ESXi-update-your-installation-with-latest-patches.html 

Detalles técnicos de ESXiArgs

ESXiArgs es un malware que afecta al hipervisor VMware ESXi, una de las plataformas de virtualización más populares. Su objetivo es dañar el sistema y pedir un rescate para recuperarse. ESXiArgs cifra los archivos (en su mayoría tipos de archivos VMware VM) y sustituye los archivos "motd" (utilizados para mostrar en el inicio de sesión) y "index.html" (página de inicio de VMware ESXi) para colocar una nota de rescate.

La página del rescate exige a la víctima el pago de 2 bitcoins (la cantidad varía en función de la organización), tras lo cual recibirá una clave para descifrar los archivos. Una versión temprana de ESXiArgs, que los atacantes utilizaron en la primera oleada del ataque, tenía una vulnerabilidad. El malware encriptaba los archivos de forma selectiva: cualquier archivo de menos de 128 MB se encriptaba automáticamente, pero los archivos de mayor tamaño se omitían o se encriptaban parcialmente. Esto permitió a los desarrolladores crear el script ESXiArgs-Recovery. Éste permitirá descifrar los datos que una versión anterior de ESXiArgs cifró.

En la segunda oleada del ataque, los ciberdelincuentes cambiaron el funcionamiento del ransomware, utilizando ahora algoritmos de cifrado robustos, como AES-256 y RSA-2048. Esto hace prácticamente imposible recuperar los datos sin una clave privada en poder de los atacantes.

Determinar qué versión del malware ha infectado su servidor es sencillo. Basta con echar un vistazo al mensaje del ransomware. Si dice BTC wallet, lo más probable es que se trate de una versión temprana de ESXiArgs, y podrá recuperar sus datos. En una iteración posterior del software, los ciberdelincuentes han ocultado el monedero y sugieren a la víctima que se ponga en contacto con ellos para recuperarlo.

A quién afecta

Lo más emocionante de esta historia es que el hackeo del servidor utiliza vulnerabilidades antiguas, incluida la CVE-2019-55441, lo que significa que los especialistas en ciberseguridad la descubrieron en 2019. En los primeros días del ataque al servidor, los desarrolladores de VMware informaron de que OpenSLP (que permite a los ordenadores y otros dispositivos encontrar servicios en la red de área local sin configuración previa) estaba desactivado por defecto allá por 2021. Así es como los atacantes atacan a los servidores que ejecutan software antiguo.

Los hackers atacan principalmente a servidores que ejecutan el hipervisor ESXi 6.0-6.7. El ataque puede afectar a algunas versiones de vSphere 7.0, que los propietarios de servidores todavía tienen que actualizar al último parche. Resulta que muchas organizaciones, incluidos hospitales, escuelas, universidades y grandes empresas, que descuidan las actualizaciones de software y protección adicional contra los ciberataques.

El ataque de ransomware no relacionado con Windows más importante jamás registrado

El ransomware suele afectar a usuarios normales de ordenadores Windows que han hecho clic en un enlace sospechoso o han instalado software comprometido. Con ESXiArgs, nos enfrentamos a importantes ataques de ransomware en la plataforma VMware ESXi.

Puede cifrar no sólo archivos y datos de ordenadores concretos, sino también toda la red de una organización. ESXiArgs ha afectado a casi 4.000 organizaciones en todo el mundo, y la estimación total es que los atacantes pueden cifrar archivos en 18.500 servidores utilizando la vulnerabilidad CVE-2021-21974.

Lo más doloroso para las organizaciones es que el malware afecta a la infraestructura de virtualización, lo que significa que los propietarios de los servidores no pueden simplemente restaurar los archivos desde una copia de seguridad o sustituir el hardware. Para que todo vuelva a funcionar, los técnicos deberán restaurar los servidores ESXi y las máquinas virtuales. Esto requerirá mucho más tiempo y recursos y costará mucho más a la empresa.

Pero se equivoca si piensa que pagar a los hackers para recuperar el acceso a los archivos es el camino. La obtención de la clave puede ser muy lenta. Así que si ha desplegado una red con muchas máquinas virtuales, tardará semanas en recuperar su servidor. Además, se conocen muchos casos de delincuentes que reciben rescates y no proporcionan claves de descifrado a las víctimas. Las organizaciones han perdido tiempo y dinero sin obtener los resultados esperados.

La amenaza de la divulgación de datos confidenciales

Una de las amenazas más graves asociadas a los ataques de ransomware, como ESXiArgs, es el riesgo de revelar o filtrar datos confidenciales. El ransomware ESXiArgs puede bloquear el acceso a datos valiosos como estados financieros y contratos. Y lo que es más importante, los atacantes pueden poner estos datos en el dominio público o venderlos en la darknet. Muchas organizaciones dependen de la confidencialidad de sus datos para mantener una ventaja competitiva, y revelar esta información puede tener graves consecuencias financieras y para su reputación.

En los últimos años, hemos asistido a un aumento espectacular de los ataques de ransomware dirigidos contra datos valiosos. Esto se debe a que los atacantes conocen el valor de la información sensible y a que las organizaciones tratarán de impedir su divulgación. Los atacantes suelen amenazar con divulgar los datos a menos que se pague un rescate públicamente, lo que aumenta la presión sobre la organización afectada para que cumpla sus exigencias.

La amenaza de revelación de datos es especialmente grave en sectores como la sanidad y las finanzas, donde la privacidad de los pacientes y clientes es primordial. En estos sectores, las violaciones de datos pueden dar lugar a multas reglamentarias, pérdida de clientes y daños irreparables a la reputación. Incluso en otros sectores, la revelación de datos confidenciales puede provocar la pérdida de confianza de clientes y socios, con importantes pérdidas económicas.

Además, las consecuencias de una violación de datos pueden ser duraderas: las organizaciones afectadas a menudo se enfrentan a demandas judiciales, investigaciones reglamentarias y daños a la reputación que pueden tardar años en repararse.

Cómo afecta el ransomware a las grandes empresas

Las grandes empresas son especialmente vulnerables a los ataques de ransomware debido a su tamaño y complejidad. Estas organizaciones suelen tener amplias infraestructuras informáticas difíciles de proteger y supervisar. Esta complejidad facilita a los atacantes encontrar vulnerabilidades en la red y explotarlas para acceder a datos sensibles.

Los ataques pueden tener graves consecuencias para las grandes empresas, como:

1. Pérdida de ingresos y de reputación debido a la inactividad de los procesos empresariales o a la indisponibilidad de servicios o productos para clientes y socios;
2. Pérdida y filtración de datos sensibles o confidenciales, como datos personales de clientes, información financiera, propiedad intelectual o datos sensibles. Podría dar lugar a multas, demandas o sanciones reglamentarias;
3. Pérdida de confianza y lealtad de clientes, socios y empleados debido a fallos de seguridad y a la insuficiente protección de sus datos;
4. Pérdida de competitividad y capacidad de innovación debido al daño o pérdida de datos o recursos valiosos;
5. Pérdida de control sobre su infraestructura y datos debido a la encriptación o eliminación de archivos por parte de atacantes.

El impacto financiero de los ataques de ransomware en las grandes empresas puede ser significativo. Además de los costes del ransomware, estas organizaciones pueden enfrentarse a una reducción de la productividad y a costes de reparación.

Dada la gravedad de la amenaza, las grandes empresas deben adoptar un enfoque proactivo para la prevención del ransomware. Esto incluye evaluaciones periódicas de la vulnerabilidad, supervisión de la red y formación de los empleados para asegurarse de que el personal es consciente de los riesgos y sabe cómo no ser víctima de un ataque.

Cómo proteger su servidor del próximo ataque de ransomware

Tras el ataque ESXiArgs y otros incidentes similares, es más importante que nunca proteger los servidores y otras infraestructuras críticas de este tipo de incidentes. Estos son algunos consejos que le ayudarán a minimizar el riesgo de un ataque de ransomware y a mitigar los daños en caso de que se produzca.

Mantenga actualizado su software

Actualice todo el software: es la forma más eficaz de proteger su servidor y prevenir cualquier ataque. Incluye sistemas operativos, aplicaciones de servidor y otro software que se ejecute en los servidores. Los proveedores de software publican a menudo parches y actualizaciones que corrigen vulnerabilidades de seguridad y otros problemas, por lo que es esencial estar al tanto de estas actualizaciones.

Implante una política firme de contraseñas

Las contraseñas débiles son una de las vulnerabilidades más comunes que utilizan los atacantes para acceder a servidores y otros sistemas. Para protegerse contra los ataques de ransomware, una organización debe implantar una política firme de contraseñas. Debe incluir requisitos de contraseñas complejas, cambios regulares de contraseña y autenticación de dos factores cuando sea posible.

Forme a sus empleados

Eduque a los usuarios sobre los riesgos y las mejores prácticas de seguridad en Internet. Incluya formación para reconocer las estafas de phishing, evitar la descarga de programas maliciosos e informar de actividades sospechosas al departamento de informática o de seguridad. La mayoría de los robos se producen porque los empleados hacen clic en enlaces sospechosos, abren archivos adjuntos de correos electrónicos de diversas organizaciones o instalan software sin licencia en sus ordenadores. Es esencial explicar los riesgos asociados a estas actividades.

Acceso restringido a distintos tipos de datos

Si su organización tiene muchos empleados con distintos niveles de responsabilidad, tómese el tiempo necesario para limitar el acceso a los datos sensibles a aquellos usuarios que no lo necesiten. Cuantos menos empleados tengan acceso a archivos específicos, menos probabilidades tendrá un ciberdelincuente de entrar en el sistema. La compleja estructura hace que sea casi imposible irrumpir en su servidor de forma remota.

No se olvide de las copias de seguridad

Las copias de seguridad periódicas son fundamentales para proteger su organización de los efectos de un ataque de ransomware. Por supuesto, no servirá de nada en caso de virus como ESXiArgs, pero nadie sabe cuáles serán los próximos ataques. Si sus servidores se ven comprometidos, tener copias de seguridad actualizadas puede marcar la diferencia entre un inconveniente menor y una pérdida de datos catastrófica. Asegúrese de mantener sus copias de seguridad fuera de las instalaciones y en un lugar seguro para evitar que resulten dañadas en un ataque.

Elabore un plan integral de respuesta a incidentes

A pesar de sus mejores esfuerzos, existe la posibilidad de que su organización sea víctima de un ataque de ransomware. Es fundamental contar con un plan integral de respuesta a incidentes. Debe describir los pasos para minimizar los daños y restaurar las operaciones rápidamente. Este plan debe incluir procedimientos para aislar los sistemas infectados, restaurar los datos de las copias de seguridad y comunicarse con las partes interesadas y los clientes.

El ransomware ESXiArgs es un malware peligroso que puede causar daños significativos a cualquier organización que sea víctima de él. Es esencial tomar medidas proactivas para asegurar sus sistemas y educarse a sí mismo y a sus empleados para reconocer y evitar estas amenazas. También es importante realizar periódicamente copias de seguridad de los datos para poder restaurarlos rápidamente en caso de ataque.