Ransomware ataca a clientes ESXi de hosts franceses (Actualización)
hace 2 años
Varios hosts han emitido varias alertas sobre una campaña de ataque de ransomware relacionada con servidores basados en el hipervisor ESXi de VMware. OVH identificó por primera vez el ransomware Nevada en una publicación de blog antes de corregirla.
Temprano en la tarde, un tuit de Arnaud de Bermingham, fundador y presidente de Scaleway, lanzó una primera advertencia: “Si está utilizando ESXi 6.x, actualice INMEDIATAMENTE, ¡un cryptolock se está propagando a toda velocidad! ". Entonces, era el turno de Ikoula para continuar en Twitter también, con este mensaje: “Nos hemos dado cuenta de que los servidores de clientes con OS ESXi (6.5 y 6.7) son víctimas de ransomware. ¡Lo instamos a que verifique sus servidores, filtre el acceso a su firewall tanto como sea posible y deshabilite el acceso SSH! ".
Finalmente, OVH dio la voz de alarma a la misma hora. Pero el proveedor de Roubaix va más allá al publicar rápidamente (también) en su blog un mensaje del grupo CISO, Julien Levrard, sobre la identidad del ransomware culpable. Este es el grupo de Nevada que apunta a los entornos ESXi en particular y del que hablamos ayer en este artículo. Los expertos de OVH señalan que el ransomware utiliza la falla CVE-2021-21974 como vector de compromiso. Solucionado en febrero de 2021, la vulnerabilidad de desbordamiento de búfer afecta a OpenSLP en el hipervisor ESXi bare-metal. “Un actor malintencionado en el mismo segmento de red que ESXi con acceso al puerto 427 podría desencadenar un problema de desbordamiento de búfer en el servicio OpenSLP que provocaría la ejecución remota de código”, escribió VMware en ese momento.
Si OVH da algunos consejos para evitar verse afectado, como comprobar la versión de ESXi utilizada y desconectar OpenSLP (puerto 427), para muchos clientes es demasiado tarde. Un creador de sitios web dijo en Twitter que 2.000 VM se habían caído por ransomware. El grupo de Nevada ya fijó su rescate en 2 bitcoins o alrededor de 45.000 euros.
Actualización: La publicación del blog de OVH se ha corregido para que ya no incluya a Nevada, pero se confirma el vector de ataque.
La demanda de rescate de los ciberdelincuentes se establece en 2 bitcoins.
Si quieres conocer otros artículos parecidos a Ransomware ataca a clientes ESXi de hosts franceses (Actualización) puedes visitar la categoría Otros.
Otras noticias que te pueden interesar