Resumen: La reconocida banda ransomware Black Basta, ahora se dirige a las máquinas virtuales de (VM) VMware ESXI que se ejecutan en los dispositivos Linux.
Esta nueva técnica, le permite a los actores de la amenaza aprovechar el multithreading de los procesadores de sus víctimas, para potencializar el proceso de cifrado.
En un informe publicado por Uptycs Threat Research, los últimos binarios de la más reciente variante de Black Basta, parecen dirigirse única y específicamente a los servidores ESXI.
Los binarios utilizan el algoritmo “ChaCha20” para cifrar archivos, y al desplegarse buscan las carpetas vmfs/volúmenes donde se almacenan las máquinas virtuales de los servidores.
Si dichas carpetas no se encuentran, el ransomware abandona inmediatamente el servidor comprometido.
Ahora bien, en dado caso de que el ransomware encuentre las carpetas, le añade la extensión “.basta” a los archivos cifrados y procede a crear notas de rescate “readme[.]txt” en cada una de las carpetas.
Las notas tienen un enlace a un panel de soporte y una identificación única, para establecer la comunicación entre los atacantes y sus víctimas.
Aunque por el momento no se sabe mucho más sobre la nueva variante del ransomware, es probable que no se trate de una nueva operación, sino de un actor de la amenaza con capacidades avanzadas, esto debido a su capacidad de ataque rápido y a su estilo de negociación.
Finalmente, al dirigirse a los servidores ESXI, esta nueva amenaza se centra en atacar grandes empresas en las que se suele utilizar esta plataforma de virtualización.
Dicho esto, se le insta a todas las organizaciones a realizar copias de seguridad frecuentemente y a mantener todos sus dispositivos actualizados.
Recomendaciones: Medidas para prevenir un ataque ransomware Hacer copias de seguridad Mantener el software parcheado y actualizado Evitar darle click a correos electrónicos sospechosos Si desea conocer más información al respecto, puede visitar el aviso de seguridad de Trend Micro.
Referencias: |
SÍGUENOS