Ataques de ransomware dirigidos a la infraestructura VMware ESXi siguiendo un patrón establecido independientemente del malware de cifrado de archivos implementado.
«Las plataformas de virtualización son un componente central de la infraestructura de TI organizacional, pero a menudo sufren de errores de configuración y vulnerabilidades inherentes, lo que las convierte en un objetivo lucrativo y altamente efectivo para que los actores de amenazas abusen de él», dijo la firma de ciberseguridad Sygnia. dicho en un informe compartido con The Hacker News.
La empresa israelí, a través de sus esfuerzos de respuesta a incidentes que involucran a varias familias de ransomware como LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat y Cheerscrypt, descubrió que los ataques a entornos de virtualización siguen una secuencia de acciones similar.
Esto incluye los siguientes pasos:
- Obtener acceso inicial a través de ataques de phishing, descargas de archivos maliciosos y explotación de vulnerabilidades conocidas en activos conectados a Internet.
- Escalar sus privilegios para obtener credenciales para hosts ESXi o vCenter mediante ataques de fuerza bruta u otros métodos.
- Validar su acceso a la infraestructura de virtualización e implementar el ransomware
- Eliminar o cifrar los sistemas de respaldo o, en algunos casos, cambiar las contraseñas para complicar los esfuerzos de recuperación.
- Exfiltrar datos a ubicaciones externas como Mega.io, Dropbox o sus propios servicios de alojamiento.
- Propagar el ransomware a servidores y estaciones de trabajo no virtualizados para ampliar el alcance del ataque.
Para mitigar los riesgos que plantean tales amenazas, se recomienda que las organizaciones garanticen que existan un monitoreo y registro adecuados, creen mecanismos de respaldo sólidos, apliquen medidas de autenticación sólidas, refuercen el entorno e implementen restricciones de red para evitar el movimiento lateral.
El desarrollo como empresa de ciberseguridad Rapid7 advirtió sobre una campaña en curso desde principios de marzo de 2024 que emplea anuncios maliciosos en motores de búsqueda de uso común para distribuir instaladores troyanizados para WinSCP y PuTTY a través de dominios con errores tipográficos y, en última instancia, instalar ransomware.
Estos instaladores falsificados actúan como un conducto para dejar caer el kit de herramientas posteriores a la explotación de Sliver, que luego se utiliza para entregar más cargas útiles, incluido un Cobalt Strike Beacon que se aprovecha para la implementación de ransomware.
La actividad comparte superposiciones tácticas con ataques anteriores de ransomware BlackCat que han utilizado publicidad maliciosa como vector de acceso inicial como parte de un periódico campaña que entrega el Malware de nitrógeno.
«La campaña afecta desproporcionadamente a los miembros de los equipos de TI, quienes son más propensos a descargar los archivos troyanizados mientras buscan versiones legítimas», dijo el investigador de seguridad Tyler McGraw. dicho.
«La ejecución exitosa del malware proporciona al actor de la amenaza un punto de apoyo elevado e impide el análisis al desdibujar las intenciones de acciones administrativas posteriores».
La divulgación también sigue a la aparición de nuevas familias de ransomware como Bestia, MorLock, Sinapsisy Trinidadcon el grupo MorLock persiguiendo exhaustivamente a las empresas rusas y cifrando archivos sin exfiltrarlos primero.
«Para restablecer el acceso a los datos, el [MorLock] Los atacantes exigen un rescate considerable, cuyo tamaño puede ser de decenas o cientos de millones de rublos», dijo la filial rusa del Grupo IB, FACCT.
Según los datos compartidos por NCC Group, los ataques globales de ransomware en abril de 2024 registraron una disminución del 15% con respecto al mes anterior, pasando de 421 a 356.
En particular, abril de 2024 también marca el final del reinado de ocho meses de LockBit como el actor de amenazas con más víctimas, destacando su lucha por mantenerse a flote tras un barrido derribo de las fuerzas del orden a principios de este año.
«Sin embargo, en un giro sorprendente de los acontecimientos, LockBit 3.0 no fue el grupo de amenazas más destacado del mes y tuvo menos de la mitad de los ataques observados que tuvieron en marzo», dijo la compañía. dicho. «En cambio, Play fue el grupo de amenazas más activo, seguido poco después por Hunters».
La turbulencia en la escena del ransomware se ha visto complementada por los ciberdelincuentes que anuncian Virtual Network Computing oculta (HVNC) y servicios de acceso remoto como Pandora y TMChecker que podría utilizarse para la filtración de datos, implementar malware adicional y facilitar ataques de ransomware.
«Múltiples agentes de acceso inicial (IAB) y operadores de ransomware utilizan [TMChecker] para verificar los datos comprometidos disponibles para detectar la presencia de credenciales válidas para VPN corporativas y cuentas de correo electrónico», dijo Resecurity.
«El aumento simultáneo de TMChecker es significativo porque reduce sustancialmente las barreras de entrada de costos para los actores de amenazas que buscan obtener acceso corporativo de alto impacto, ya sea para explotación primaria o para venta a otros adversarios en el mercado secundario».