Se ha encontrado una nueva forma de ransomware basado en Linux dirigido a los servidores VMware Inc. ESXi. VMware ESXi es un hipervisor desarrollado por VMware para implementar y servir computadoras virtuales.
Detallado por investigadores de Pattern Micro Inc., l. a. nueva forma de ransomware se ha denominado “Cheerscrypt”. El ransomware cifra los archivos relacionados con VMware y comparte algunas similitudes con otras familias de ransomware como LockBit, Hive y RansomEXX, que anteriormente se han dirigido a servidores VMware ESXi en el pasado.
El nombre Cheerscrypt se deriva de lo que hace el ransomware. Habiendo obtenido acceso a un servidor VMware ESXi, Cheersscrypt busca archivos con las extensiones .log, .vmdk, .vmem, .vswp y .vmsn conectados a instantáneas de ESXi, archivos de registro, archivos de intercambio, archivos de paginación y discos virtuales. Luego agrega .Cheers al ultimate de los nombres de los archivos antes de cifrarlos.
Cheerscrypt, como es cada vez más común con el ransomware en los últimos 12 a 18 meses, es un ransomware de doble toque. Los que están detrás del ransomware no solo exigen el pago de una clave de descifrado, sino que también amenazan con liberar los datos robados si no se paga el rescate.
En una nota de rescate mostrada por los investigadores de Pattern Micro, los piratas informáticos de Cheerscrypt, mientras comenzaban el mensaje con “¡Salud!” luego cube que l. a. víctima debe comunicarse con ellos dentro de los tres días, o expondrán algunos de los datos robados y aumentarán l. a. cantidad de rescate exigida. Junto con las advertencias de no intentar descifrar los archivos, los piratas informáticos dicen que si no se contactan con ellos, los datos robados se venderán a oponentes o delincuentes.
Para reducir el riesgo de un ataque, los investigadores concluyen que “una postura proactiva que garantice defensas sólidas de ciberseguridad contra las amenazas modernas de ransomware es a very powerful para que las organizaciones prosperen en un landscape de amenazas en constante cambio”. Las organizaciones deben establecer marcos de seguridad y adoptar las mejores prácticas.
“L. a. mayoría de las organizaciones del mundo utilizan máquinas virtuales y l. a. mayoría de esas máquinas virtuales son de VMware”, Roger Grimes, evangelista de defensa basada en datos en una empresa de capacitación en concientización sobre seguridad. KnowBe4 Inc., le dijo a SiliconANGLE. “Hace que el trabajo de los atacantes de ransomware sea mucho más fácil porque pueden cifrar un servidor, el servidor VMware, y luego cifrar cada máquina digital invitada que contiene”.
“Un comando de compromiso y encriptación puede encriptar fácilmente de docenas a cientos de otras computadoras que funcionan virtualmente a l. a. vez”, explicó Grimes. “L. a. mayoría de las ‘tiendas de VM’ usan algún tipo de producto de respaldo de VM para respaldar todos los servidores invitados, por lo que encontrar y eliminar o corromper un repositorio de respaldo elimina l. a. imagen de respaldo para todos los servidores invitados alojados a l. a. vez”.
John Gunn, director ejecutivo de l. a. empresa de autenticación tokenizar inc. señaló que “a medida que más organizaciones mejoran su seguridad al adoptar l. a. autenticación multifactor con biometría, están cerrando efectivamente l. a. puerta de entrada que ha sido l. a. vulnerabilidad elegida por los piratas informáticos.
“Eso no significa que los malos actores desaparecerán, sino que cambiarán sus métodos a ataques como este”, agregó Gunn.
Foto: broche de presión
Muestre su apoyo a nuestra misión uniéndose a nuestra comunidad de expertos Dice Membership y Dice Match. Únase a l. a. comunidad que incluye Amazon Internet Products and services y el CEO de Amazon.com, Andy Jassy, el fundador y CEO de Dell Applied sciences, Michael Dell, el CEO de Intel, Pat Gelsinger, y muchas más luminarias y expertos.
Pasaporte En Linea