Ransomware ataca a ESXi VMware

Se ha descubierto un nuevo ataque de Ransomware dirigido a sistemas ESXi que utilizan túneles SSH ocultos para dirigir el tráfico a la infraestructura de comando y control (C2), lo que le permite a los atacantes permanecen sin ser detectados.

¿Cuál es la amenaza?

Los cibercriminales están atacando a los sistemas Vmware ESXi aprovechando los dispositivos comprometidos para dirigir el tráfico a su infraestructura C2, lo que les permite evadir la detección. Una vez comprometidos, los atacantes pueden robar datos y cifrar archivos, lo que paraliza de manera efectiva la organización al dejar a todas las maquinas virtuales inaccesibles.

¿Por qué es digno de mención?

Lo atacantes de amenazas pueden comprometer los sistemas Vmware ESXi al explotar las credenciales de administrador o aprovechar una vulnerabilidad de seguridad conocida para eludir las protecciones de autenticación. Una vez que obtienen acceso, configuran un túnel mediante SSH u otras herramientas similares. SSH es una herramienta poderosa que los administradores utilizan para la gestión remota y la resolución de problemas. Sin embargo, en manos de los atacantes, se convierte en una defensa para la persistencia, el movimiento lateral y la comunicación sigilosa con los servidores C2.

¿Cuál es el riesgo?

Una vez que los atacantes obtienen acceso de administrador, pueden explotar la operación continua utilizando el tiempo de inactividad mínimo de los dispositivos ESXi, manteniendo la puerta trasera accesible durante un periodo de tiempo prolongado, lo que la convierte en un punto de entrada ideal.

Para detectar ataques que involucran la tunelización SSH en dispositivos ESXi, se recomienda que las organizaciones revien los siguientes registros:

/var/log/shell.log (ESXi shell activity log)

/var/log/hostd.log (Host agent log)

/var/log/auth.log (authentication log)

/var/log/vobd.log (VMware observer daemon log)

Recomendaciones

Algunas de las recomendaciones para mitigar el impacto:

• Proteja el acceso SSH a los servidores ESXi con autenticación multifactor (MFA), especialmente para el acceso administrativo remoto.
• Utilice contraseñas complejas para las cuentas SSH y administrativas, y rote las credenciales con regularidad.
• Restrinja el acceso SSH solo a los usuarios y sistemas necesarios. Utilice el modelo de privilegios minimos para minimizar el acceso necesario.
• Supervise el tráfico SSH inusual o el comportamiento de tunelización, como el tráfico cifrado a destinos inesperados.
• Mantenga los servidores ESXi actualizados con los últimos parches de seguridad.
• Habilite el registro detallado de todo el acceso SSH y la actividad del sistema. Revise periódicamente los registros para detectar inicios de sesión no autorizados o sospechosos, creación de túneles o cambios en el sistema ESXi