El equipo de investigación de Censys ha seguido de cerca la propagación del ransomware ESXiArgs desde que se detectó por primera vez a principios de febrero. El equipo ha utilizado los datos de escaneado de Internet de Censys para rastrear los hosts infectados en distintos países, supervisar cómo ha respondido desde entonces el grupo de hackers y desarrollar un panel con datos de Censys que los investigadores pueden utilizar para rastrear el ransomware.
A medida que se desarrollaba la actividad del ransomware ESXiArgs, la historia y el trabajo de nuestro equipo en ella fueron recogidos por la prensa en más de 20 publicaciones del sector y sumando. A continuación puede consultar un resumen de los principales artículos.
El ransomware ESXiArgs: Cronología de los acontecimientos
En primer lugar, repasemos lo ocurrido desde el descubrimiento del ransomware ESXiArgs.
1.A principios de febrero comenzó una campaña de ransomware dirigida a servidores VMWare ESXi. Las infecciones alcanzaron su punto álgido el 3 de febrero, cuando Censys observó 3.551 hosts infectados.
2. Curiosamente, la campaña presentaba las notas de rescate en Internet, lo que las hacía visibles para los escáneres pasivos de Censys'. También pudimos ver que se publicaban direcciones de monederos bitcoin en las páginas de los rescates, lo que nos permitió rastrear los pagos.
3. Hemos observado que en Francia, Estados Unidos, Alemania, Canadá y otros países se han producido atentados, muchos de ellos en Francia.
4. CISA publicó entonces una herramienta de descifrado; sin embargo, el grupo de hackers respondió eliminando direcciones BTC y cifrando datos adicionales, lo que hizo ineficaces las herramientas de descifrado existentes.
5. El 11 de febrero, el equipo de Censys observó una ráfaga de hosts recién infectados y descubrió dos hosts con notas de rescate muy similares que databan de mediados de octubre de 2022, justo después de que las versiones 6.5 y 6.7 de ESXi llegaran al final de su vida útil.
6. El equipo de Censys creó un panel de control (con datos de Censys que se actualizan cada 24 horas) para que los investigadores pudieran seguir la difusión de la campaña.
Encuentre un desglose completo del trabajo de nuestro equipo de investigación en este Evolución del ransomware ESXiArgs Censys del blog.
Cobertura de prensa
Bleeping Computer - El ataque masivo del ransomware ESXiArgs se dirige a servidores VMware ESXi de todo el mundo
En este artículo del 3 de febrero, publicado el día en que Censys observó un pico de infecciones de ransomware ESXiArgs, Bleeping Computer informó sobre el ataque activo a servidores VMware ESXi. En las actualizaciones del artículo realizadas el 6 de febrero, Bleeping Computer cita nuevos datos de Censys sobre los servidores infectados: "...las cifras crecieron rápidamente durante el fin de semana, con 2.400 dispositivos VMware ESXi en todo el mundo actualmente detectados como comprometidos en la campaña de ransomware, según una búsqueda enCensys ".
Cyberscoop - Una oleada mundial de ransomware infecta servidores VMWare sin parchear. CISA tiene una (posible) solución.
Cyberscoop relata cómo el CERT-FR de Francia detectó por primera vez el ransomware ESXiArgs utilizando los datos de análisis de Internet de Censys y proporciona detalles sobre cómo los afectados pueden utilizar el script de recuperación de ransomware de CISA en GitHub.
Reuters - Italia afirma que no hay pruebas de que el ransomware global haya sido pirateado por una entidad estatal
Reuters cita datos de Censys que muestran miles de servidores de todo el mundo afectados por el ransomware ESXiArgs, la mayoría ubicados en Francia, Estados Unidos y Alemania. Reuters informa de que la Agencia Nacional de Ciberseguridad de Italia no cree que "un Estado o una entidad hostil similar a un Estado" sea responsable, a pesar de la naturaleza global del ataque.
The Hacker News - El ransomware ESXiArgs alcanza a más de 500 nuevos objetivos en países europeos
El 16 de febrero, The Hacker News informó en Censysde que el ransomware ESXiArgs había atacado nuevos objetivos en Europa. El artículo afirma que "los hallazgos provienen de la empresa de gestión de superficies de ataque Censys, que descubrió 'dos hosts con notas de rescate sorprendentemente similares que datan de mediados de octubre de 2022, justo después de que las versiones 6.5 y 6.7 de ESXi llegaran al final de su vida útil'". Hacker News también incluye declaraciones de Mark Ellzey y Emily Austin, investigadores principales de seguridad de Censys .
TechTalk - Miles de víctimas afectadas por el ransomware ESXiArgs
TechTalk habló con Emily Austin, investigadora principal de seguridad de Censys , sobre la oleada de hosts infectados por una nueva variante del ransomware ESXiArgs. "'[Los actores de la amenaza] probablemente siguieron las actualizaciones de la comunidad de seguridad y se dieron cuenta de que los investigadores estaban rastreando sus pagos, e incluso pueden haber sabido antes de lanzar el ransomware que el proceso de cifrado en la variante original era relativamente fácil de eludir', dijo Austin."
Equinix - Cobertura en LinkedIn del Director del Centro de Análisis de Amenazas de Equinix, Sean O'Conner
El trabajo del equipo de investigación de Censys sobre el ransomware ESXiArgs llamó la atención del director del Centro de Análisis de Amenazas de Equinix, Sean O'Conner. Sean compartió el panel interactivo del equipo de Censys y señaló el lote de servidores recién infectados que había detectado el escaneado de Censys .
Seguir leyendo
La cobertura de prensa adicional sobre el ransomware ESXiArgs incluye:
