Ransomware ataca a clientes ESXi de hosts franceses (Actualización)

hace 2 años

000000090301.png

Varios hosts han emitido varias alertas sobre una campaña de ataque de ransomware relacionada con servidores basados ​​en el hipervisor ESXi de VMware. OVH identificó por primera vez el ransomware Nevada en una publicación de blog antes de corregirla.

Temprano en la tarde, un tuit de Arnaud de Bermingham, fundador y presidente de Scaleway, lanzó una primera advertencia: “Si está utilizando ESXi 6.x, actualice INMEDIATAMENTE, ¡un cryptolock se está propagando a toda velocidad! ". Entonces, era el turno de Ikoula para continuar en Twitter también, con este mensaje: “Nos hemos dado cuenta de que los servidores de clientes con OS ESXi (6.5 y 6.7) son víctimas de ransomware. ¡Lo instamos a que verifique sus servidores, filtre el acceso a su firewall tanto como sea posible y deshabilite el acceso SSH! ".

Finalmente, OVH dio la voz de alarma a la misma hora. Pero el proveedor de Roubaix va más allá al publicar rápidamente (también) en su blog un mensaje del grupo CISO, Julien Levrard, sobre la identidad del ransomware culpable. Este es el grupo de Nevada que apunta a los entornos ESXi en particular y del que hablamos ayer en este artículo. Los expertos de OVH señalan que el ransomware utiliza la falla CVE-2021-21974 como vector de compromiso. Solucionado en febrero de 2021, la vulnerabilidad de desbordamiento de búfer afecta a OpenSLP en el hipervisor ESXi bare-metal. “Un actor malintencionado en el mismo segmento de red que ESXi con acceso al puerto 427 podría desencadenar un problema de desbordamiento de búfer en el servicio OpenSLP que provocaría la ejecución remota de código”, escribió VMware en ese momento.

Si OVH da algunos consejos para evitar verse afectado, como comprobar la versión de ESXi utilizada y desconectar OpenSLP (puerto 427), para muchos clientes es demasiado tarde. Un creador de sitios web dijo en Twitter que 2.000 VM se habían caído por ransomware. El grupo de Nevada ya fijó su rescate en 2 bitcoins o alrededor de 45.000 euros.

Actualización: La publicación del blog de OVH se ha corregido para que ya no incluya a Nevada, pero se confirma el vector de ataque.

La demanda de rescate de los ciberdelincuentes se establece en 2 bitcoins.

Si quieres conocer otros artículos parecidos a Ransomware ataca a clientes ESXi de hosts franceses (Actualización) puedes visitar la categoría Otros.

Otras noticias que te pueden interesar

Subir
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos.
Privacidad