Ransomware ataca a otro proveedor de nube

VMware otra vez?

Saludos

Ni chicos ni grandes tienen actualizados sus sistemas

dwyer dijo:

VMware otra vez?

Saludos

Haz clic para expandir...

Le mandé un tuit preguntándole al creador de la noticia y dice que "al parecer afectó a los servidores VMware ESXi".

Zuljin dijo:

Le mandé un tuit preguntándole al creador de la noticia y dice que "al parecer afectó a los servidores VMware ESXi".

Haz clic para expandir...

era lo mas probable
habran tenido equipos desactualizados ? bueno, eso lo sabremos mas adelante

Nuevo comunicado de la empresa afectada. Confirman que se apolillaron host VMware ESXi.

Por si tiene algo que ver:

Como puede ser posible que un datacenter, tenga su ssh del hypervisor abierto a red publica ?

pipe9 dijo:

Como puede ser posible que un datacenter, tenga su ssh del hypervisor abierto a red publica ?

Haz clic para expandir...

tal vez no estaba abierto, y consiguieron el acceso infectando un equipo con acceso a la red donde corría el esx

y como estarán desencriptando? hay herramientas ya? (en mi radar no habian)

Se pitió hasta los backup de veeam

Loreen

Carlos E. Flores dijo:

Por si tiene algo que ver:

Haz clic para expandir...

dificil, mas que nada porque esa version solo llego a sistemas de testing o versiones muy tempranas, cosa que no llega a los sistemas en produccion (lease releases estables de ubuntu, debian u otra distribucion)

Según la conversación de wazap que posteó @dwyer , estos socios estaban en ESXi 6.7 y 7.

Dato: la versión vigente es la 8.0.2.

Como mencionaron: ni grandes ni chicos se salvan, pero me parece mucho mas serio los comunicados de PowerHost que los de GTD en su momento, de hecho dan plaza de 3 o 4 dias, ojala se cumplan, pero da mejor imagen al exterior.
Pobres deben estar todos vueltos locos

Está interesante el artículo que mencionan en el Whatsapp:

https://dolbuck.net/ciberseguridad/ransomware-esxiargs/

Sobretodo porque hay afectados que aseguran no tener ni SSH abierto ni SLP activado y queda ambiguo si hay o no afectados con el parche aplicado, por lo que puede que el ESXi tenga más agujeros.

Sumado a que Broadcom decidió matar al ESXi gratuito, imagino que están todos de cabeza planificado migrar a Proxmox.

Lo malo que aplicar el parche es webiado y muchas empresas que arriendan webhost van a preferir postergarlo todo lo posible para no perjudicar el uptime y evitar ranteo de los clientes.

Yo creo que decir 3 o 4 días fue un error.

Lo único que se me ocurre es que paguen el rescate, ahí tendrían como desencriptar y se demorarían eso.

Sin las claves de encriptación, hay que probar con conocidas y si esas no resultan, con nuevas y eso se demora.

Si logran lo anterior, hay que verificar los archivos , y con tantos datos rápido no es.

Que opinan?

GORDIO dijo:

Como mencionaron: ni grandes ni chicos se salvan, pero me parece mucho mas serio los comunicados de PowerHost que los de GTD en su momento, de hecho dan plaza de 3 o 4 dias, ojala se cumplan, pero da mejor imagen al exterior.
Pobres deben estar todos vueltos locos

Haz clic para expandir...

Y que pasaría con los 3 o 4 días ?

pipe9 dijo:

Y que pasaría con los 3 o 4 días ?

Haz clic para expandir...

eran en hora de pluton

pipe9 dijo:

Y que pasaría con los 3 o 4 días ?

Haz clic para expandir...

Deben estar de locos, el fin de semana debio ser una locura de como recuperar todo.

que optimistas

he pasado un día entero con 2 servidores q eran antiguos tratando de hacer cosas para q fueran compatibles y estos van a levantar toda esa plataforma q debe ser el manso franki