Es un eufemismo decir que los ataques de ransomware son un problema importante para las empresas. Hasta el punto de convertirlo en un negocio lucrativo para los ciberdelincuentes que utilizan a un tercero para realizar actividades maliciosas de este tipo. Con una explosión de amenazas vinculadas al ransomware como servicio (RaaS) que son cada vez más numerosos desde principios de año para apuntar a entornos de servidores en los que está instalado el hipervisor ESXi de VMware. Una última encuesta de Crowdstrike hace balance de la situación, que lamentablemente no mejora, sino todo lo contrario.

"En abril de 2023, CrowdStrike Intelligence identificó un nuevo programa RaaS llamado MichaelKors, que proporciona a sus afiliados archivos binarios de ransomware dirigidos a sistemas Windows y ESXi/Linux". indicado el proveedor de seguridad en un estudio más reciente. "También se han lanzado otras plataformas RaaS capaces de apuntar a entornos ESXi, como el ransomware Nevada". Entre otros que toman como objetivo sistemas ESXi, también encontramos ALPHV (BlackCat), Black Basta, Defray, ESXiArgs, LockBit, Play, Rook, Rorschach...

La amenaza de ransomware en ESXi considerada por VMware

No es coincidencia que ESXi sea la principal presa de los piratas informáticos porque, según Crowdstrike, por diseño no admite agentes de terceros ni software antivirus. VMware incluso llega a decir que no es necesario implementar dicha solución de seguridad. Conocer la popularidad de ESXi como un sistema de gestión y virtualización popular y generalizado hace de este hipervisor un objetivo muy atractivo para actores maliciosos.

Sin embargo, el aumento de los ataques contra ESXi ya no deja indiferente al proveedor de virtualización, como lo demuestra una actualización del 15 de mayo de 2023 de su boletín sobre el despliegue de agentes de terceros y soluciones antivirus en su hipervisor. "La información contenida en este artículo está desactualizada y debe considerarse obsoleta". prevenido VMware. "Este artículo debería actualizarse en el futuro con información reciente". A la espera de estas próximas recomendaciones, el proveedor dirige a los usuarios a este blog lo que bien podría dejarlos con hambre.