{"id":1298126,"date":"2024-07-30T23:22:12","date_gmt":"2024-07-30T23:22:12","guid":{"rendered":"https:\/\/teknomers.com\/es\/grupos-de-ransomware-aprovechan-una-falla-de-vmware-esxi-para-obtener-acceso-administrativo\/"},"modified":"2024-07-30T23:22:16","modified_gmt":"2024-07-30T23:22:16","slug":"grupos-de-ransomware-aprovechan-una-falla-de-vmware-esxi-para-obtener-acceso-administrativo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/grupos-de-ransomware-aprovechan-una-falla-de-vmware-esxi-para-obtener-acceso-administrativo\/","title":{"rendered":"Grupos de ransomware aprovechan una falla de VMware ESXi para obtener acceso administrativo"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Grupos-de-ransomware-aprovechan-una-falla-de-VMware-ESXi-para.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Una falla de seguridad recientemente parcheada que afecta a los hipervisores VMware ESXi ha sido explotada activamente por &#8220;varios&#8221; grupos de ransomware para obtener permisos elevados e implementar malware de cifrado de archivos.<\/p>\n<p>Los ataques implican la explotaci\u00f3n de <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-37085\" target=\"_blank\">CVE-2024-37085<\/a> (Puntuaci\u00f3n CVSS: 6,8), una omisi\u00f3n de autenticaci\u00f3n de integraci\u00f3n de Active Directory que permite a un atacante obtener acceso administrativo al host.<\/p>\n<p>&#8220;Un actor malintencionado con suficientes permisos de Active Directory (AD) puede obtener acceso total a un host ESXi que se configur\u00f3 previamente para usar AD para la administraci\u00f3n de usuarios al volver a crear el grupo AD configurado (&#8216;Administradores ESXi&#8217; de manera predeterminada) despu\u00e9s de que se elimin\u00f3 de AD&#8221;, dijo VMware, propiedad de Broadcom. <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.vmware.com\/vsphere\/2012\/09\/joining-vsphere-hosts-to-active-directory.html\" target=\"_blank\">anotado<\/a> en un aviso publicado a fines de junio de 2024.<\/p>\n<p>En otras palabras, aumentar los privilegios en ESXi al administrador fue tan simple como crear un nuevo grupo de AD llamado &#8220;Administradores de ESX&#8221; y agregarle cualquier usuario, o renombrar cualquier grupo en el dominio a &#8220;Administradores de ESX&#8221; y agregar un usuario al grupo o usar un miembro del grupo existente.<\/p>\n<p>Microsoft, en un nuevo an\u00e1lisis publicado el 29 de julio, dijo que observ\u00f3 que operadores de ransomware como Storm-0506, Storm-1175, Octo Tempest y Manatee Tempest aprovechaban la t\u00e9cnica posterior al compromiso para implementar Akira y Black Basta.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1721629215_517_Nueva-variante-de-Linux-del-ransomware-Play-que-ataca-los.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>&#8220;Los hipervisores VMware ESXi unidos a un dominio de Active Directory consideran que cualquier miembro de un grupo de dominio llamado &#8216;Administradores de ESX&#8217; tiene acceso administrativo completo de forma predeterminada&#8221;, dijeron los investigadores Danielle Kuznets Nohi, Edan Zwick, Meitar Pinto, Charles-Edouard Bettan y Vaibhav Deshmukh. <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2024\/07\/29\/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Este grupo no es un grupo integrado en Active Directory y no existe de manera predeterminada. Los hipervisores ESXi no validan la existencia de dicho grupo cuando el servidor se une a un dominio y a\u00fan tratan a los miembros de un grupo con este nombre con acceso administrativo completo, incluso si el grupo no exist\u00eda originalmente&#8221;.<\/p>\n<p>En un ataque organizado por Storm-0506 contra una empresa de ingenier\u00eda an\u00f3nima en Am\u00e9rica del Norte, el actor de amenazas utiliz\u00f3 la vulnerabilidad como arma para obtener permisos elevados en los hipervisores ESXi despu\u00e9s de haber obtenido un punto de apoyo inicial utilizando una infecci\u00f3n de QakBot y explotando otra falla en el controlador del Sistema de archivos de registro com\u00fan de Windows (CLFS) (CVE-2023-28252, puntuaci\u00f3n CVSS: 7.8) para la escalada de privilegios.<\/p>\n<p>Posteriormente, las fases implicaron el despliegue de Cobalt Strike y <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/skelsec\/pypykatz\" target=\"_blank\">Gato pelirrojo<\/a>una versi\u00f3n Python de Mimikatz, para robar credenciales de administrador de dominio y moverse lateralmente a trav\u00e9s de la red, seguido de eliminar el implante SystemBC para persistencia y abusar del acceso de administrador de ESXi para implementar Black Basta.<\/p>\n<p>&#8220;Tambi\u00e9n se observ\u00f3 que el actor intentaba forzar las conexiones del Protocolo de escritorio remoto (RDP) a varios dispositivos como otro m\u00e9todo de movimiento lateral, y luego volvi\u00f3 a instalar Cobalt Strike y SystemBC&#8221;, dijeron los investigadores. &#8220;El actor de amenazas luego intent\u00f3 manipular Microsoft Defender Antivirus utilizando varias herramientas para evitar ser detectado&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1722381732_943_Grupos-de-ransomware-aprovechan-una-falla-de-VMware-ESXi-para.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1722381732_943_Grupos-de-ransomware-aprovechan-una-falla-de-VMware-ESXi-para.png\" alt=\"VMware ESXi\" border=\"0\" data-original-height=\"1376\" data-original-width=\"1651\" title=\"VMware ESXi\"\/><\/a><\/div>\n<p>&#8220;Es importante se\u00f1alar que la explotaci\u00f3n depende en gran medida de que el host est\u00e9 configurado para utilizar AD para la gesti\u00f3n de usuarios&#8221;, afirm\u00f3 Scott Caveza, ingeniero de investigaci\u00f3n de personal de Tenable, en un comunicado. &#8220;Adem\u00e1s, un atacante tambi\u00e9n necesitar\u00eda acceso privilegiado al entorno de AD para explotar con \u00e9xito esta vulnerabilidad&#8221;.<\/p>\n<p>&#8220;A pesar de esta importante barrera de entrada, no podemos subestimar las capacidades y la determinaci\u00f3n de los grupos de ransomware para aumentar los privilegios y avanzar en su ruta de ataque una vez que obtienen el acceso inicial&#8221;.<\/p>\n<p>El desarrollo se produce luego de que Mandiant, propiedad de Google, revelara que un grupo de amenazas con motivaciones financieras llamado UNC4393 est\u00e1 utilizando el acceso inicial obtenido a trav\u00e9s de una puerta trasera C\/C++ con nombre en c\u00f3digo ZLoader (tambi\u00e9n conocido como DELoader, Terdot o Silent Night) para distribuir Black Basta, alej\u00e1ndose de QakBot y DarkGate.<\/p>\n<p>&#8220;UNC4393 ha demostrado su voluntad de cooperar con m\u00faltiples grupos de distribuci\u00f3n para completar sus acciones sobre los objetivos&#8221;, dijo la firma de inteligencia de amenazas. <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/unc4393-goes-gently-into-silentnight\/\" target=\"_blank\">dicho<\/a>&#8220;Este aumento m\u00e1s reciente de la actividad de Silent Night, que comenz\u00f3 a principios de este a\u00f1o, se ha producido principalmente a trav\u00e9s de publicidad maliciosa. Esto marc\u00f3 un cambio notable respecto del phishing como \u00fanico medio conocido de acceso inicial a UNC4393&#8221;.<\/p>\n<p>La secuencia de ataque implica hacer uso del acceso inicial para lanzar Cobalt Strike Beacon y una combinaci\u00f3n de herramientas personalizadas y disponibles para realizar el reconocimiento, sin mencionar el uso de RDP y Server Message Block (SMB) para el movimiento lateral. La persistencia se logra mediante SystemBC.<\/p>\n<p>ZLoader, que resurgi\u00f3 despu\u00e9s de una larga pausa a fines del a\u00f1o pasado, ha estado bajo desarrollo activo, con nuevas variantes del malware que se propagan a trav\u00e9s de una puerta trasera de PowerShell conocida como <a rel=\"nofollow noopener\" href=\"https:\/\/cert.pl\/en\/posts\/2023\/05\/powerdash-malspam\/\" target=\"_blank\">PowerDash<\/a>por <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/walmartglobaltech\/unknown-powershell-backdoor-with-ties-to-new-zloader-88ca51d38850\" target=\"_blank\">Hallazgos recientes<\/a> del equipo de inteligencia cibern\u00e9tica de Walmart.<\/p>\n<p>En los \u00faltimos a\u00f1os, los actores de ransomware han demostrado un apetito por aprovechar nuevas t\u00e9cnicas para maximizar el impacto y evadir la detecci\u00f3n, apuntando cada vez m\u00e1s a los hipervisores ESXi y aprovechando <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/ra-world-ransomware-group-updates-tool-set\/\" target=\"_blank\">Fallas de seguridad recientemente descubiertas<\/a> en servidores con conexi\u00f3n a Internet para violar objetivos de inter\u00e9s.<\/p>\n<p>Por ejemplo, Qilin (tambi\u00e9n conocido como Agenda) se desarroll\u00f3 originalmente en el lenguaje de programaci\u00f3n Go, pero desde entonces se ha vuelto a desarrollar con Rust, lo que indica un cambio hacia la construcci\u00f3n de malware con lenguajes seguros para la memoria. Se ha descubierto que los ataques recientes que involucran ransomware aprovechan debilidades conocidas en el software Fortinet y Veeam Backup &#038; Replication para obtener acceso inicial.<\/p>\n<p>&#8220;El ransomware Qilin es capaz de autopropagarse a trav\u00e9s de una red local&#8221;, dijo Group-IB <a rel=\"nofollow noopener\" href=\"https:\/\/www.group-ib.com\/blog\/qilin-revisited\/\" target=\"_blank\">dicho<\/a> En un an\u00e1lisis reciente, agreg\u00f3 que tambi\u00e9n est\u00e1 equipado para &#8220;realizar autodistribuci\u00f3n utilizando VMware vCenter&#8221;.<\/p>\n<p>Otro malware notable empleado en los ataques de ransomware Qilin es una herramienta denominada <a rel=\"nofollow noopener\" href=\"https:\/\/www.binarydefense.com\/resources\/blog\/technical-analysis-killer-ultra-malware-targeting-edr-products-in-ransomware-attacks\/\" target=\"_blank\">Asesino ultra<\/a> que est\u00e1 dise\u00f1ado para deshabilitar el popular software de detecci\u00f3n y respuesta de puntos finales (EDR) que se ejecuta en el host infectado, as\u00ed como borrar todos los registros de eventos de Windows para eliminar todos los indicadores de compromiso.<\/p>\n<p>Se recomienda a las organizaciones instalar las \u00faltimas actualizaciones de software, practicar la higiene de credenciales, aplicar la autenticaci\u00f3n de dos factores y tomar medidas para proteger los activos cr\u00edticos mediante procedimientos de monitoreo adecuados y planes de respaldo y recuperaci\u00f3n.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/vmware-esxi-flaw-exploited-by.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una falla de seguridad recientemente parcheada que afecta a los hipervisores VMware ESXi ha sido explotada activamente por<\/p>\n","protected":false},"author":1,"featured_media":1298127,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[3348,4657,4656,675,38098,4661,4664,91758,2503,4662,8177,4668,4667,239182,4654,239508,4658,4659,4653,6598,18,4883,4666,4665,158,34470,239484],"class_list":["post-1298126","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-acceso","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-administrativo","tag-aprovechan","tag-ataques-ciberneticos","tag-como-hackear","tag-esxi","tag-falla","tag-filtracion-de-datos","tag-grupos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-obtener","tag-para","tag-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-una","tag-vmware","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1298126","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1298126"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1298126\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1298127"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1298126"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1298126"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1298126"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}