Debido a la popularidad de VMware en el campo de la virtualización y su prominencia en los sistemas de TI de muchas organizaciones, sus productos de infraestructura virtual se han convertido en objetivos muy atractivos para los atacantes. Este aumento de ataques se debe a la falta de herramientas de seguridad, segmentación de red inadecuada de las interfaces ESXi, y vulnerabilidades de ITW para ESXi.
Nuevo ransomware dirigido a ESXi detectado en la naturaleza
En abril 2023, CrowdStrike Intelligence descubrió un nuevo programa RaaS llamado MichaelKors que ofrece binarios de ransomware para apuntar a sistemas Windows y ESXi/Linux. Otras herramientas RaaS, como el ransomware Nevada, también se han desarrollado para apuntar a entornos ESXi.
MichaelKors parece ser un ransomware-as-a-service proyecto. RaaS es un modelo de negocio desarrollado por operadores de ransomware para atraer afiliados. Este modelo permite a los afiliados pagar a los creadores de malware para lanzar ataques de ransomware. RaaS se basa en el popular modelo de negocio de TI de software como servicio, tomando su nombre y concepto de ese modelo.
MichaelKors no es el primer ransomware dirigido a servidores ESXi y Linux. Los ejemplos recientes anteriores incluyen ESXiArgs, Luna, y CheersCrypt.
En febrero de 2023, CERT-FR informó que la campaña de ransomware ESXiArgs estaba explotando activamente dos vulnerabilidades, CVE-2020-3992 y CVE-2021-21974, dirigidas a hipervisores VMware ESXi no seguros.. Estas vulnerabilidades permiten que un usuario no autenticado, adversario adyacente a la red para ejecutar código arbitrario en las instancias de VMware ESXi afectadas. A pesar de ser una amenaza conocida, esta es la primera vez que se explota CVE-2021-21974 en la naturaleza (ITW). Esto se debe a la falta de herramientas de seguridad y soporte para ESXi., CrowdStrike señalado.