Una gran ola de ataques cibernéticos por ransomware está barriendo alrededor del mundo y alerta a muchas agencias nacionales de seguridad informática. Este es particularmente el caso en Francia e Italia, sabiendo que Finlandia, Estados Unidos o Canadá se encuentran entre los países donde este tipo de ataque ha explotado. Su punto común? Use una vulnerabilidad en los sistemas a bordo del Hypervisor ESXI en VMware para implementar un rescate (Nevada, Lockbit ...). Según BloombergCientos de sistemas han sido atacados por este ataque de Salvan.

En Francia, las alertas que emanan de los hosts que usan sistemas ESXI rápidamente multiplicado al final de la semana. "En el estado actual de las investigaciones, estas campañas de ataque parecen explotar la vulnerabilidad CVE-2021-21974, para la cual ha estado disponible una solución desde el 23 de febrero de 2021", explicado Anssi. "Esta vulnerabilidad afecta el Protocolo de alquiler de servicio (SLP) y le permite a un atacante llevar a cabo una explotación del código arbitrario desde la distancia". Según la agencia, los sistemas actualmente atacados son Hypervisors ESXI en la versión 6.x y antes de 6.7. Por su parte, el CERT-FR indica que esta falla afecta las versiones anteriores de 7.xs en ESXI70U1C-1732555, 6.7.x antes de ESXI670-202102401-SG y 6.5.x antes de ESXI650-202102101-SG.

Empresas infectadas sin saberlo

La contraparte italiana de nuestra Agencia Nacional de Seguridad de Sistemas de Información, la ACN ha dicho Domingo Que varias docenas de sistemas nacionales han sido atacados y pidieron a las empresas que actúen para proteger sus sistemas. "Docenas de empresas ni siquiera saben que son atacados, sino que deben actualizar de inmediato sus sistemas", dijo prevenido También la agencia de seguridad de TI italiana.

Para las empresas que no han aplicado VMware para sus sistemas que utilizan versiones ESXI en riesgo y no pueden, o no hacerlo, se recomienda una solución de derivación. Saber cómo desactivar el servicio SLP en los hipervisores que no están actualizados. “La única aplicación de las correcciones no es suficiente. De hecho, un atacante probablemente ya explotó la vulnerabilidad y pudo depositar un código malicioso. Se recomienda realizar un análisis de sistemas para detectar cualquier signo de compromiso ”, también explica el ANSSI.