Please enter CoinGecko Free Api Key to get this plugin works.

Bl0ckch41nnewsAtaques de ransomware explotan vulnerabilidades de VMware ESXi como patrón alarmante

16


Según muestran nuevos hallazgos,
los ataques de ransomware dirigidos a la infraestructura VMware ESXi siguen
un patrón establecido,

independientemente del malware de cifrado de archivos implementado, .

«Las plataformas de virtualización son un componente central de la
infraestructura de TI organizacional, sin embargo, a menudo sufren de malas
configuraciones y vulnerabilidades inherentes, lo que las convierte en un
objetivo lucrativo y altamente efectivo para que los actores de amenazas
abusen»
, dijo la firma de ciberseguridad Sygnia en
un informe.

La empresa israelí, a través de sus esfuerzos de respuesta a incidentes que
involucran varias familias de ransomware como LockBit, HelloKitty,
BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat y
Cheerscrypt, descubrió que los ataques a entornos de virtualización siguen una
secuencia similar de acciones.

Esto incluye los siguientes pasos:

  • Obtener acceso inicial a través de ataques de phishing, descargas de
    archivos maliciosos y explotación de vulnerabilidades conocidas en activos
    conectados a Internet.
  • Escalar sus privilegios para obtener credenciales para hosts ESXi o vCenter
    mediante ataques de fuerza bruta u otros métodos.
  • Validar su acceso a la infraestructura de virtualización e implementar el
    ransomware
  • Eliminar o cifrar los sistemas de respaldo o, en algunos casos, cambiar las
    contraseñas para complicar los esfuerzos de recuperación.
  • Exfiltrar datos a ubicaciones externas como Mega.io, Dropbox o sus propios
    servicios de alojamiento.
  • Iniciar la ejecución del ransomware para cifrar la
    carpeta «/vmfs/volumes»
    del sistema de archivos ESXi
  • Propagar el ransomware a servidores y estaciones de trabajo no virtualizados
    para ampliar el alcance del ataque.


Para mitigar los riesgos que plantean tales amenazas, se recomienda que las
organizaciones garanticen que existan un monitoreo y registro adecuados,
creen mecanismos de respaldo sólidos, apliquen medidas de autenticación
sólidas, refuercen el entorno e implementen restricciones de red para evitar
el movimiento lateral.

El desarrollo como empresa de ciberseguridad Rapid7 advirtió sobre una campaña
en curso desde principios de marzo de 2024 que emplea anuncios maliciosos en
motores de búsqueda de uso común para distribuir instaladores troyanizados
para WinSCP y PuTTY a través de dominios con errores tipográficos y, en última
instancia, instalar ransomware.

Estos instaladores falsificados actúan como un conducto para instalar el kit
de herramientas de explotación Sliver, que luego se utiliza para entregar más
cargas útiles, incluido un Cobalt Strike Beacon que se aprovecha para la
implementación de ransomware.

Esta actividad
comparte superposiciones tácticas
con ataques anteriores de ransomware BlackCat que han utilizado publicidad
maliciosa como vector de acceso inicial como parte de una
campaña
recurrente
que entrega el malware Nitrogen.


«La campaña afecta desproporcionadamente a los miembros de los equipos de
TI, quienes son más propensos a descargar los archivos troyanizados mientras
buscan versiones legítimas»
,
dijo el investigador de seguridad Tyler McGraw.
«La ejecución exitosa del malware proporciona al actor de la amenaza un
punto de apoyo elevado e impide el análisis al desdibujar las intenciones de
acciones administrativas posteriores»
.

La divulgación también sigue a la aparición de nuevas familias de ransomware
como
BeastMorLockSynapse, y
Trinity, con el grupo MorLock persiguiendo extensamente a empresas rusas y cifrando
archivos sin exfiltrarlos primero.

«Para restablecer el acceso a los datos, los atacantes [MorLock] exigen un
rescate considerable, cuyo tamaño puede ser de decenas y cientos de millones
de rublos»
, dijo la filial rusa del Grupo IB, F.A.C.C.T. dicho. Según los datos
compartidos por NCC Group, los ataques globales de ransomware en abril de 2024
registraron una disminución del 15% con respecto al mes anterior, pasando de
421 a 356.

En particular, abril de 2024 también marca el final del reinado de ocho meses
de LockBit como el actor de amenazas con más víctimas, lo que destaca sus
luchas por mantenerse a flote
después de una
amplia eliminación policial a principios de este año.

«Sin embargo, en un giro sorprendente de los acontecimientos, LockBit 3.0
no fue el grupo de amenazas más destacado del mes y tuvo menos de la mitad
de los ataques observados que tuvieron en marzo»
,
dijo la compañía.
«En cambio, Play fue el grupo de amenazas más activo, seguido poco después
por Hunters».

La turbulencia en la escena del ransomware se ha complementado con
ciberdelincuentes que anuncian Virtual Network Computing (hVNC) oculto y servicios de acceso remoto como
Pandora
y
TMChecker
que podrían utilizarse para la filtración de datos, implementar malware
adicional y facilitar ataques de ransomware.

«El aumento simultáneo de TMChecker es significativo porque reduce
sustancialmente las barreras de entrada de costos para los actores de
amenazas que buscan obtener acceso corporativo de alto impacto, ya sea para
explotación primaria o para venta a otros adversarios en el mercado
secundario».

Fuente: THNTHN



Source link

Los comentarios están cerrados.