Según muestran nuevos hallazgos, los ataques de ransomware dirigidos a la infraestructura VMware ESXi siguen un patrón establecido, independientemente del malware de cifrado de archivos implementado, .
“Las plataformas de virtualización son un componente central de la infraestructura de TI organizacional, sin embargo, a menudo sufren de malas configuraciones y vulnerabilidades inherentes, lo que las convierte en un objetivo lucrativo y altamente efectivo para que los actores de amenazas abusen”, dijo la firma de ciberseguridad Sygnia en un informe.
La empresa israelí, a través de sus esfuerzos de respuesta a incidentes que involucran varias familias de ransomware como LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat y Cheerscrypt, descubrió que los ataques a entornos de virtualización siguen una secuencia similar de acciones.
Esto incluye los siguientes pasos:
- Obtener acceso inicial a través de ataques de phishing, descargas de archivos maliciosos y explotación de vulnerabilidades conocidas en activos conectados a Internet.
- Escalar sus privilegios para obtener credenciales para hosts ESXi o vCenter mediante ataques de fuerza bruta u otros métodos.
- Validar su acceso a la infraestructura de virtualización e implementar el ransomware
- Eliminar o cifrar los sistemas de respaldo o, en algunos casos, cambiar las contraseñas para complicar los esfuerzos de recuperación.
- Exfiltrar datos a ubicaciones externas como Mega.io, Dropbox o sus propios servicios de alojamiento.
- Iniciar la ejecución del ransomware para cifrar la carpeta “/vmfs/volumes” del sistema de archivos ESXi
- Propagar el ransomware a servidores y estaciones de trabajo no virtualizados para ampliar el alcance del ataque.
Para mitigar los riesgos que plantean tales amenazas, se recomienda que las organizaciones garanticen que existan un monitoreo y registro adecuados, creen mecanismos de respaldo sólidos, apliquen medidas de autenticación sólidas, refuercen el entorno e implementen restricciones de red para evitar el movimiento lateral.
El desarrollo como empresa de ciberseguridad Rapid7 advirtió sobre una campaña en curso desde principios de marzo de 2024 que emplea anuncios maliciosos en motores de búsqueda de uso común para distribuir instaladores troyanizados para WinSCP y PuTTY a través de dominios con errores tipográficos y, en última instancia, instalar ransomware.
Estos instaladores falsificados actúan como un conducto para instalar el kit de herramientas de explotación Sliver, que luego se utiliza para entregar más cargas útiles, incluido un Cobalt Strike Beacon que se aprovecha para la implementación de ransomware.
Esta actividad comparte superposiciones tácticas con ataques anteriores de ransomware BlackCat que han utilizado publicidad maliciosa como vector de acceso inicial como parte de una campaña recurrente que entrega el malware Nitrogen.
“La campaña afecta desproporcionadamente a los miembros de los equipos de TI, quienes son más propensos a descargar los archivos troyanizados mientras buscan versiones legítimas”, dijo el investigador de seguridad Tyler McGraw. “La ejecución exitosa del malware proporciona al actor de la amenaza un punto de apoyo elevado e impide el análisis al desdibujar las intenciones de acciones administrativas posteriores”.
La divulgación también sigue a la aparición de nuevas familias de ransomware como Beast, MorLockSynapse, y Trinity, con el grupo MorLock persiguiendo extensamente a empresas rusas y cifrando archivos sin exfiltrarlos primero.
“Para restablecer el acceso a los datos, los atacantes [MorLock] exigen un rescate considerable, cuyo tamaño puede ser de decenas y cientos de millones de rublos”, dijo la filial rusa del Grupo IB, F.A.C.C.T. dicho. Según los datos compartidos por NCC Group, los ataques globales de ransomware en abril de 2024 registraron una disminución del 15% con respecto al mes anterior, pasando de 421 a 356.
En particular, abril de 2024 también marca el final del reinado de ocho meses de LockBit como el actor de amenazas con más víctimas, lo que destaca sus luchas por mantenerse a flote después de una amplia eliminación policial a principios de este año.
“Sin embargo, en un giro sorprendente de los acontecimientos, LockBit 3.0 no fue el grupo de amenazas más destacado del mes y tuvo menos de la mitad de los ataques observados que tuvieron en marzo”, dijo la compañía. “En cambio, Play fue el grupo de amenazas más activo, seguido poco después por Hunters”.
La turbulencia en la escena del ransomware se ha complementado con ciberdelincuentes que anuncian Virtual Network Computing (hVNC) oculto y servicios de acceso remoto como Pandora y TMChecker que podrían utilizarse para la filtración de datos, implementar malware adicional y facilitar ataques de ransomware.
“El aumento simultáneo de TMChecker es significativo porque reduce sustancialmente las barreras de entrada de costos para los actores de amenazas que buscan obtener acceso corporativo de alto impacto, ya sea para explotación primaria o para venta a otros adversarios en el mercado secundario”.
Fuente: Segu Info