Blog Detail

Los piratas informáticos suelen atacar los sistemas ESXi, ya que se utiliza ampliamente en entornos empresariales para gestionar infraestructura virtualizada, lo que convierte a ESXi en un objetivo lucrativo.

Los actores de amenazas pueden aprovechar las fallas de seguridad en ESXi para implementar ransomware y realizar otras actividades maliciosas, lo que aumenta significativamente el efecto en las organizaciones afectadas por ataques a ESXi.

Recorded Future descubrió recientemente que una nueva variante Linux de RansomHub ha estado atacando activamente los sistemas ESXi.

 

RansomHub atacando sistemas ESXi

RansomHub es una plataforma RaaS que comenzó a operar en febrero de 2024; Ataca varios sistemas operativos con malware escrito en Go y C++.

Esto paga una comisión del 90%, lo que atrae a afiliados experimentados, lo que genera 45 víctimas de departamentos de TI en 18 países.

Existen algunas similitudes entre el ransomware y los códigos ALPHV y Knight Ransomware, lo que indica posibles conexiones.

Las organizaciones deben considerar medidas de seguridad inmediatas y a largo plazo para contener esta amenaza emergente.

En febrero de 2024, “koley” presentó en el foro Ramp una nueva plataforma de ransomware llamada RansomHub que presenta malware Go y C++ con muchas funcionalidades dirigidas a sistemas Windows, Linux y ESXi .

Este enfoque es típico de entornos con múltiples sistemas operativos y muestra cómo los ataques multiplataforma se multiplicaron por siete entre 2022 y 2023, lo que en consecuencia amplió increíblemente el número de víctimas.

La alta tasa de comisión del 90 % de RansomHub atrae a los afiliados experimentados, lo que resulta en un rápido crecimiento. En este sentido, ha afectado a 45 víctimas en 18 países, centrándose principalmente en la industria de TI.

Esto significa un enfoque de “caza mayor”, dirigido a víctimas de alto valor que probablemente pagarán grandes rescates debido a los costosos tiempos de inactividad operativa.

Al aprovechar instancias de Amazon S3 mal configuradas, los afiliados de RansomHub realizaron copias de seguridad para varios clientes. Luego utilizaron amenazas a esos proveedores de respaldo en un plan de extorsión destinado a inducirlos a comprar los datos.

La estrategia capitaliza los vínculos de confianza entre proveedor y cliente. Recientemente se hicieron conocidos por vender 4 TB de información robada obtenida de Change Healthcare, una empresa de tecnología sanitaria con sede en Estados Unidos.

El Grupo Insikt afirmó que RansomHub está estrechamente relacionado con ALPHV (BlackCat) y Knight Ransomware debido a ciertas similitudes de código. RansomHub utiliza configuraciones de contraseña de archivos cifrados para evitar el análisis.

Una posible estrategia de mitigación es alterar este archivo para que deje de funcionar modificando /tmp/app.pid realizado por la versión ESXi del ransomware, ya que solo permite una instancia del ransomware.

 

Mitigaciones

A continuación, mencionamos todas las mitigaciones:

• Red de segmentos para limitar el movimiento lateral.
• Utilice SIEM para registro y detección centralizados.
• Implementar EDR con reglas YARA/Sigma.
• Aplique el privilegio mínimo y MFA para el acceso remoto.
• Copias de seguridad de datos periódicas fuera de línea y aisladas.
• Realizar auditorías consistentes del sistema.
• Mantenga todos los sistemas parchados y actualizados.
• Utilice las reglas YARA, Sigma y Snort para la detección de malware.