Después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) lanzara un descifrador para que las víctimas afectadas se recuperaran de los ataques del ransomware ESXiArgs, los atacantes se recuperaron con una versión actualizada que cifra más datos.
El surgimiento de la nueva variante fue informado por un administrador del sistema en un foro en línea, donde otro participante explicó que los archivos de más de 128 MB tenían el 50% de sus datos encriptados, lo que dificultaba el proceso de recuperación.
Otro cambio notable es la eliminación de la dirección de Bitcoin de la nota de rescate, y los atacantes ahora piden a las víctimas que se comuniquen con ellos en Tox para obtener la información de la billetera.
Los atacantes «descubrieron que los investigadores estaban rastreando sus pagos, y es posible que supieran antes de lanzar el ransomware que el proceso de cifrado en la variante original era relativamente fácil de eludir», dijo Censys en un informe.
«En otras palabras, estás mirando».
Estadísticas compartidas por la plataforma de crowdsourcing Ransomwhere descubrir que hasta el 9 de febrero de 2023 se infectaron hasta 1.252 servidores con la nueva versión de ESXiArgs, de los cuales 1.168 fueron reinfecciones.
Más de 3800 hosts únicos se han visto comprometidos desde que comenzó el brote de ransomware a principios de febrero. La mayoría de las infecciones se encuentran en Francia, Estados Unidos, Alemania, Canadá, Reino Unido, Países Bajos, Finlandia, Turquía, Polonia y Taiwán.
Al igual que Cheerscrypt y PrideLocker, ESXiArgs se basa en el casillero Babuk, cuyo código fuente se filtró en septiembre de 2021. Un aspecto clave que lo diferencia de otras familias de ransomware es la falta de un sitio de fuga de datos, lo que indica que no opera en un modelo de ransomware como servicio (RaaS).
«El rescate se establece en poco más de dos bitcoins ($ 47,000) y las víctimas tienen tres días para pagar», dijo la firma de ciberseguridad Intel471.
Si bien inicialmente se sospechó que los intrusos estaban explotando un error de OpenSLP de dos años de antigüedad y ahora parcheado en VMware ESXi (CVE-2021-21974), se han informado compromisos en dispositivos que tienen el protocolo de descubrimiento de red desactivado.
Desde entonces, VMware ha declarado que no ha encontrado evidencia de que se utilice una vulnerabilidad de día cero en su software para distribuir el ransomware.
Esto indica que los actores de amenazas detrás de la actividad pueden estar aprovechando varias vulnerabilidades conocidas en ESXi, por lo que es imperativo que los usuarios actualicen a la última versión rápidamente. Los ataques aún no se han atribuido a un actor o grupo de amenazas conocido.
«Según la demanda de rescate, la campaña está asociada con un solo actor o grupo de amenazas», señaló Arctic Wolf. «Los grupos de ransomware establecidos generalmente realizan OSINT en víctimas potenciales antes de realizar un allanamiento y establecen el pago del rescate en función del valor percibido».
La firma de seguridad cibernética Rapid7 dijo que encontró 18,581 servidores ESXi con acceso a Internet vulnerables a CVE-2021-21974, y agregó que también había observado que los actores de RansomExx2 atacaban de manera oportunista a los servidores ESXi vulnerables.
“Si bien el impacto financiero de esta brecha en particular puede parecer pequeño, los atacantes cibernéticos continúan causando estragos en las organizaciones”, dijo Tony Lauro, director de tecnología y estrategia de seguridad de Akamai.
“El ransomware ESXiArgs es un excelente ejemplo de por qué los administradores de sistemas deben implementar parches rápidamente después de su lanzamiento y de los esfuerzos que realizan los atacantes para que sus ataques tengan éxito. Sin embargo, los parches son solo una línea de defensa en la que confiar».