Nueva ola de ataques de malware aprovecha un fallo de hace dos años de VMware
La vulnerabilidad CVE-2021-21974 detectada en el hipersupervisor ESXi de WMware ya fue parcheada el 23 de febrero de 2021, pero hay miles equipos que aún no están actualizados y son vulnerables.
Una vulnerabilidad presente en VMware desde hace dos años acaba de ser descubierta por ciberdelincuentes que la están explotando como parte de una nueva campaña de ransomware que amenaza a miles de organizaciones en todo el mundo que no han instalado en sus equipos el parche para la misma.
Se trata de una vulnerabilidad que afecta a los servidores VMware de ESXi y que llevaría desde el año 2021 sin haber sido parcheada por parte de un buen número de organizaciones. Esto ha dado lugar a una variante de ransomware que ya ha comenzado a circular, y que precisamente por ese origen ha sido bautizada como “ESXiArgs”.
El organismo francés de respuesta de emergencias a amenazas cibernéticas, el CERT-FR, ha comunicado a ver detectado intentos de ataques de este tipo desde el 3 de febrero mientras que su homólogo italiano, la agencia de ciber seguridad nacional ACN, ha avisado de un campaña de ransonware a gran escala con objetivos en servidores de toda Europa y Norteamérica, algo que también se confirma desde Estados Unidos por parte de distintos organismos oficiales de ciberseguridad nacional del país.
Desde Italia se concreta que este tipo de amenaza aprovecha el fallo para llevar a cabo ataques de baja complejidad dirigidos desde vectores no autenticados que no precisan de la utilización de contraseñas de los empleados. Su tasa de éxito se está aprovechando de que ante la ausencia del parque que solvente el fallo son muchos los equipos vulnerables.
Censys calcula que hay más de 3.200 servidores VMware comprometidos, siendo Francia el país más afectado seguido de Estados Unidos, Alemania, Canadá y Reino Unido. El ataque parece tener un origen centralizado puesto que las víctimas están recibiendo la solicitud de un rescate para liberar sus equipos atacados de 2 Bitcoins (unos 44.000 euros) que debe depositarse en distinta direcciones de monederos electrónicos.
ESXi es el hipervisor de VMware, una tecnología que permite a las organizaciones mantener virtualizados distintos ordenadores ejecutando múltiples sistemas operativos en un único servidor físico. La vulnerabilidad detectada se identifica como “CVE-2021-21974” y WMware ya puso a disposición de sus usuarios un parche el 23 de febrero de 2021, pero todos aquellos que no la hayan instalado son susceptibles de sufrir este ataque.