En 2024, los ataques de ransomware dirigidos a servidores VMware ESXi alcanzaron niveles alarmantes, y la demanda promedio de rescate se disparó a 5 millones de dólares. Con aproximadamente 8.000 hosts ESXi expuestos directamente a Internet (según Shodan), el impacto operativo y empresarial de estos ataques es profundo.
La mayoría de las variantes de ransomware que atacan a los servidores ESXi hoy en día son variantes del infame ransomware Babuk, adaptadas para evitar la detección de herramientas de seguridad. Además, la accesibilidad se está generalizando a medida que los atacantes monetizan sus puntos de entrada vendiendo acceso inicial a otros actores de amenazas, incluidos grupos de ransomware. A medida que las organizaciones se enfrentan a amenazas compuestas en un frente en constante expansión: nuevas vulnerabilidades, nuevos puntos de entrada, redes de cibercrimen monetizadas y más, existe una urgencia cada vez mayor de mejorar medidas de seguridad y vigilancia.
La arquitectura de ESXi
Comprender cómo un atacante puede obtener el control del host ESXi comienza con la comprensión de la arquitectura de los entornos virtualizados y sus componentes. Esto ayudará a identificar posibles vulnerabilidades y puntos de entrada.
Sobre esta base, los atacantes que apuntan a servidores ESXi podrían buscar el nodo central que administra múltiples hosts ESXi. Esto les permitirá maximizar su impacto.
Esto nos lleva a vCenter, que es la administración central de la infraestructura de VMware y está diseñado para administrar varios hosts ESXi. El servidor vCenter organiza la administración del host ESXi con la cuenta “vpxuser” predeterminada. Al tener permisos de root, la cuenta “vpxuser” es responsable de las acciones administrativas en las máquinas virtuales que residen en los hosts ESXi. Por ejemplo, transferir máquinas virtuales entre hosts y modificar configuraciones de máquinas virtuales activas.
Las contraseñas cifradas para cada host ESXi conectado se almacenan en una tabla dentro del servidor vCenter. Una clave secreta almacenada en el servidor vCenter facilita el descifrado de contraseñas y, en consecuencia, el control total sobre todos y cada uno de los hosts ESXi. Una vez descifrada, la cuenta “vpxuser” se puede utilizar para operaciones de permisos de root, incluida la modificación de configuraciones, el cambio de contraseñas de otras cuentas, el inicio de sesión SSH y la ejecución de ransomware.
Cifrado en ESXi
Las campañas de ransomware tienen como objetivo dificultar enormemente la recuperación, obligando a la organización a pagar el rescate. Con los ataques ESXi, esto se logra apuntando a cuatro tipos de archivos que son esenciales para la continuidad operativa:
- Archivos VMDK: un archivo de disco virtual que almacena el contenido del disco duro de una máquina virtual. Cifrar estos archivos hace que la máquina virtual quede completamente inoperable.
- Archivos VMEM: El archivo de paginación de cada máquina virtual. Cifrar o eliminar archivos VMEM puede provocar una pérdida significativa de datos y complicaciones al intentar reanudar las máquinas virtuales suspendidas.
- Archivos VSWP: archivos de intercambio, que almacenan parte de la memoria de la máquina virtual más allá de lo que puede proporcionar la memoria física del host. Cifrar estos archivos de intercambio puede provocar fallas en las máquinas virtuales.
- Archivos VMSN: Instantáneas para realizar copias de seguridad de las máquinas virtuales. Apuntar a estos archivos complica los procesos de recuperación ante desastres.
Dado que los archivos involucrados en los ataques de ransomware a los servidores ESXi son grandes, los atacantes suelen emplear un enfoque de cifrado híbrido. Combinan la rapidez del cifrado simétrico con la seguridad del cifrado asimétrico.
- Cifrado simétrico – Estos métodos, como AES o Chacha20, permiten velocidad y eficiencia a la hora de cifrar grandes volúmenes de datos. Los atacantes pueden cifrar archivos rápidamente, lo que reduce la ventana de oportunidad para la detección y mitigación por parte de los sistemas de seguridad.
- Cifrado asimétrico – Los métodos asimétricos, como RSA, son más lentos ya que involucran una clave pública y una clave privada y requieren operaciones matemáticas complejas.
Por lo tanto, en el ransomware, el cifrado asimétrico se utiliza principalmente para proteger las claves utilizadas en el cifrado simétrico, en lugar de los datos en sí. Esto garantiza que las claves simétricas cifradas sólo puedan ser descifradas por alguien que posea la clave privada correspondiente, es decir, el atacante. Hacerlo evita un fácil descifrado, añadiendo una capa adicional de seguridad para el atacante.
Cuatro estrategias clave para la mitigación de riesgos
Una vez que hayamos reconocido que la seguridad de vCenter está en riesgo, el siguiente paso es fortalecer las defensas poniendo obstáculos en el camino de posibles atacantes. Aquí hay algunas estrategias:
- Actualizaciones periódicas de VCSA: Utilice siempre la última versión de VMware vCenter Server Appliance (VCSA) y manténgala actualizada. La transición de un vCenter basado en Windows a VCSA puede mejorar la seguridad, ya que está diseñado específicamente para administrar vSphere.
- Implementar MFA y eliminar usuarios predeterminados: No se limite a cambiar las contraseñas predeterminadas: configure una autenticación multifactor (MFA) sólida para cuentas confidenciales para agregar una capa adicional de protección.
- Implementar herramientas de detección efectivas: Utilice herramientas de detección y prevención directamente en su vCenter. Soluciones como EDR, XDR o herramientas de terceros pueden ayudar con el monitoreo y las alertas, lo que dificulta que los atacantes tengan éxito. Por ejemplo, configurar políticas de monitoreo que rastrean específicamente intentos de acceso inusuales a la cuenta de vpxuser o alertas de actividad de archivos cifrados dentro del entorno de vCenter.
- Segmentación de red: Segmente su red para controlar el flujo de tráfico y reducir el riesgo de movimiento lateral por parte de los atacantes. Mantener la red de administración de vCenter separada de otros segmentos ayuda a contener posibles infracciones.
Pruebas continuas: fortaleciendo su seguridad ESXi
Proteger su vCenter de los ataques de ransomware ESXi es vital. Los riesgos asociados a un vCenter comprometido pueden afectar a toda su organización y a todos los que dependen de datos críticos.
Las pruebas y evaluaciones periódicas pueden ayudar a identificar y abordar las brechas de seguridad antes de que se conviertan en problemas graves. Trabaje con expertos en seguridad que puedan ayudarle a implementar una Gestión continua de la exposición a amenazas (CTEM) estrategia adaptada a su organización.
About the Author
