Lo que parece ser una nueva variante del ransomware Babuk ha surgido para atacar servidores VMware ESXi en varios países, incluido un ataque confirmado a IxMetro PowerHost, una empresa chilena de alojamiento de centros de datos. La variante se autodenomina “SEXi”, un juego en la plataforma de destino de su elección.
Según el investigador de ciberseguridad de CronUp Germán FernándezEl director general de PowerHost, Ricardo Rubem, emitió un comunicado confirmando que una nueva variante de ransomware había bloqueado los servidores de la empresa utilizando la extensión de archivo .SEXi, con el vector de acceso inicial a la red interna aún desconocido. Los atacantes pidieron un rescate de 140 millones de dólares, que Rubem indicó que no se pagaría.
El surgimiento de SEXi se encuentra en la encrucijada de dos tendencias principales de ransomware: la avalancha de actores de amenazas que han malware desarrollado basado en el código fuente de Babuk; y el deseo de comprometer servidores VMware EXSi tentadoramente jugosos.
El ataque IX PowerHost forma parte de una campaña de ransomware más amplia
Mientras tanto, Will Thomas, investigador de CTI en Equinix, descubrió lo que cree que es un binario relacionado con el utilizado en el ataque, denominado “LIMPOPOx32.bin” y etiquetado como una versión Linux de Babuk en VirusTotal. Al cierre de esta edición, que el malware tiene una tasa de detección del 53% en VT, y 34 de 64 proveedores de seguridad lo marcaron como malicioso desde que se subió por primera vez el 8 de febrero. MalwareHunterTeam lo vi el día de San Valentín, cuando se estaba utilizando sin el identificador “SEXi” en un ataque a una entidad en Tailandia.
Pero Thomas descubrió además otros binarios relacionados. como el tuiteó“Ataque de ransomware SEXi a IXMETRO POWERHOST vinculado a una campaña más amplia que ha afectado al menos a tres países de América Latina”. Estos se autodenominan Socotra (usado en un atentado en Chile el 23 de marzo); Limpopo nuevamente (utilizado en un ataque en Perú el 9 de febrero); y Formosa (utilizado en un ataque en México el 26 de febrero). Es preocupante que al cierre de esta edición los tres registraron cero detecciones en VT.
En conjunto, los hallazgos muestran el desarrollo de una campaña novedosa que utiliza varias iteraciones de SEXi que conducen a Babuk.
TTP oscuros surgen en ataques SEXi
No hay indicios de dónde se originan los operadores de malware ni cuáles son sus intenciones. Pero poco a poco están surgiendo una serie de tácticas, técnicas y procedimientos. Por un lado, la nomenclatura de los binarios proviene de los nombres de lugares. Limpopo es la provincia más septentrional de Sudáfrica; Socotra es una isla yemení en el Océano Índico; y Formosa fue una república de corta duración ubicada en Taiwán a finales del siglo XIX, después de que la dinastía Qing de China cediera su dominio sobre la isla.
Y, como señaló MalwareHunterTeam en X, “tal vez sea interesante/valga la pena mencionar sobre este ransomware ‘SEXi’ que el método de comunicación especificado por los actores en la nota es Sesión. Si bien[‘ve] He visto a algunos actores usarlo incluso hace años, creo [don’t] Recuerdo haberlo visto en relación con casos/actores importantes/serios”.
Session es una aplicación de mensajería instantánea cifrada de extremo a extremo y multiplataforma que enfatiza la confidencialidad y el anonimato del usuario. La nota de rescate en el ataque IX PowerHost instaba a la empresa a descargar la aplicación y luego enviar un mensaje con el código “SEXi”; La nota anterior sobre el ataque tailandés instaba a descargar la sesión, pero incluyendo el código “Limpopo”.
EXSi es atractivo para los ciberatacantes
La plataforma de hipervisor EXSi de VMware se ejecuta en Linux y en sistemas operativos similares a Linux, y puede alojar múltiples máquinas virtuales (VM) ricas en datos. ha sido un objetivo popular para los actores de ransomware desde hace años, en parte debido al tamaño de la superficie de ataque: hay decenas de miles de servidores ESXi expuestos a Internet, según una búsqueda de Shodan, y la mayoría de ellos ejecutan versiones anteriores. Y eso no tiene en cuenta aquellos a los que se puede acceder después de una violación de acceso inicial a una red corporativa.
Contribuyendo también a El creciente interés de las bandas de ransomware en EXSila plataforma no admite ninguna herramienta de seguridad de terceros.
“Los dispositivos no administrados, como los servidores ESXi, son un gran objetivo para los actores de amenazas de ransomware”, según un informe de previsión lanzado el año pasado. “Eso se debe a los valiosos datos de estos servidores, un número creciente de vulnerabilidades explotadas que les afectansu frecuente exposición a Internet y la dificultad de implementar medidas de seguridad, como la detección y respuesta de puntos finales (EDR), en estos dispositivos. ESXi es un objetivo de alto rendimiento para los atacantes, ya que aloja varias máquinas virtuales, lo que les permite implementar malware una vez y cifrar numerosos servidores con un solo comando”.
VMware tiene una guía para asegurar EXSi ambientes. Las sugerencias específicas incluyen: Asegúrese de que el software ESXi esté parcheado y actualizado; reforzar contraseñas; eliminar servidores de Internet; monitorear actividades anormales en el tráfico de la red y en los servidores ESXi; y asegúrese de que haya copias de seguridad de las máquinas virtuales fuera del entorno ESXi para permitir la recuperación.
Fuente Original darkreading
