Un grupo de hackers han estado explotando una vulnerabilidad ya parcheada en VMware Workspace ONE Access en campañas para instalar varios ransomware y mineros de criptomonedas, dijo el jueves un investigador de la firma de seguridad Fortinet.

CVE-2022-22954 es una vulnerabilidad de ejecución remota de código en VMware Workspace ONE Access que tiene una calificación de gravedad de 9,8 de 10 posibles. VMware reveló y parcheó la vulnerabilidad el 6 de abril. En 48 horas, los hackers hicieron ingeniería inversa de la actualización y desarrollaron un exploit que utilizaron para comprometer los servidores que aún no habían instalado la corrección. El acceso a VMware Workspace ONE ayuda a los administradores a configurar un conjunto de aplicaciones que los empleados necesitan en sus entornos de trabajo.

En agosto, los investigadores de Fortiguard Labs observaron un repunte en los intentos de ataque y un cambio importante en las tácticas. Mientras que antes los hackers instalaban cargas útiles que recopilaban contraseñas y otros datos, el nuevo aumento trajo algo más, concretamente un ransomware conocido como RAR1ransom, un minero de criptomonedas conocido como GuardMiner y Mirai, un software que acorrala a los dispositivos Linux en una red de bots masiva para utilizarla en ataques de denegación de servicio distribuidos.

En el caso de que RAR1ransom no se haya instalado nunca, la carga útil ejecutaría primero el archivo ejecutable encrypt.exe. El archivo deja caer el ejecutable legítimo de compresión de datos WinRAR en una carpeta temporal de Windows. A continuación, el ransomware utiliza WinRAR para comprimir los datos del usuario en archivos protegidos por contraseña.

La carga útil inicia el ataque GuardMiner. GuardMiner es un troyano de minería multiplataforma para la moneda Monero. Está activo desde 2020.

Los ataques subrayan la importancia de instalar las actualizaciones de seguridad a tiempo. Cualquiera que aún no haya instalado el parche del 6 de abril de VMware debería hacerlo de inmediato.