Los equipos en cuestión son los llamados servidores VMware ESXi, utilizados para ejecutar máquinas virtuales. El ransomware dirigido a los servidores se denomina ESXiArgs y, al parecer, lleva activo desde principios de este mes.
Según se informa, más de 3.200 servidores de todo el mundo están afectados por la campaña ESXiArgs. Se desconoce exactamente quién está detrás del ransomware.
Hace unos días, el CERT-FR, la agencia nacional francesa de gestión de ciberamenazas, publicó una actualización sobre el asunto en su sitio web.
El 3 de febrero de 2023, el CERT-FR tuvo conocimiento de una campaña de ataque contra los hipervisores VMware ESXi con el objetivo de lanzar ransomware contra ellos. Hasta ahora, la investigación muestra que estas campañas aparentemente han explotado la exposición de hipervisores ESXi que no se han actualizado con parches de seguridad con la suficiente rapidez, escribe la agencia.
Los hipervisores, también llamados monitores de máquinas virtuales (VMM), son programas informáticos, firmware o hardware que crean y gestionan máquinas virtuales.
Además, la Agencia Nacional de Ciberseguridad italiana (ACN) declaró este fin de semana que varios miles de servidores VMware están siendo atacados por ransomware, según la agencia de noticias Reuters.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA) confirmó a Techcrunch que está investigando activamente la campaña ESXiArgs. La agencia está trabajando con varias partes interesadas para determinar el alcance de los daños y está prestando asistencia a las víctimas.
Se trata principalmente de dos vulnerabilidades, con los códigos de seguimiento CVE-2020-3992 y CVE-2021-21974. La primera tiene una gravedad CVSSv3 de 9,8, lo que significa que la vulnerabilidad es crítica y puede explotarse mediante la ejecución remota de código.
CVE-2021-21974, por otra parte, tiene una gravedad CVSSv3 de 8,8, que también es muy grave. Esto también facilita la ejecución remota de código, según la descripción técnica. La agencia francesa CERT-FR escribe que el código que explota las vulnerabilidades (exploits) está disponible desde al menos mayo de 2021.
Un portavoz de VMware comentó que la empresa es consciente de los informes de la campaña ESXiArgs en curso, y que los parches que solucionan las vulnerabilidades se publicaron el 23 de febrero de 2021. El portavoz recomienda a todos los afectados que instalen los parches lo antes posible.
