En 2024, los ataques de ransomware dirigidos a servidores VMware ESXi alcanzaron niveles alarmantes, y la demanda promedio de rescate se dispar\u00f3 a 5 millones de d\u00f3lares. Con aproximadamente 8.000 hosts ESXi expuestos directamente a Internet (seg\u00fan Shodan), el impacto operativo y empresarial de estos ataques es profundo.<\/p>\n
La mayor\u00eda de las variantes de ransomware que atacan a los servidores ESXi hoy en d\u00eda son variantes del infame ransomware Babuk, adaptadas para evitar la detecci\u00f3n de herramientas de seguridad. Adem\u00e1s, la accesibilidad se est\u00e1 generalizando a medida que los atacantes monetizan sus puntos de entrada vendiendo acceso inicial a otros actores de amenazas, incluidos grupos de ransomware. A medida que las organizaciones se enfrentan a amenazas compuestas en un frente en constante expansi\u00f3n: nuevas vulnerabilidades, nuevos puntos de entrada, redes de cibercrimen monetizadas y m\u00e1s, existe una urgencia cada vez mayor de mejorar medidas de seguridad <\/a>y vigilancia.<\/p>\n Comprender c\u00f3mo un atacante puede obtener el control del host ESXi comienza con la comprensi\u00f3n de la arquitectura de los entornos virtualizados y sus componentes. Esto ayudar\u00e1 a identificar posibles vulnerabilidades y puntos de entrada.<\/p>\n Sobre esta base, los atacantes que apuntan a servidores ESXi podr\u00edan buscar el nodo central que administra m\u00faltiples hosts ESXi. Esto les permitir\u00e1 maximizar su impacto.<\/p>\n Esto nos lleva a vCenter, que es la administraci\u00f3n central de la infraestructura de VMware y est\u00e1 dise\u00f1ado para administrar varios hosts ESXi. El servidor vCenter organiza la administraci\u00f3n del host ESXi con la cuenta “vpxuser” predeterminada. Al tener permisos de root, la cuenta “vpxuser” es responsable de las acciones administrativas en las m\u00e1quinas virtuales que residen en los hosts ESXi. Por ejemplo, transferir m\u00e1quinas virtuales entre hosts y modificar configuraciones de m\u00e1quinas virtuales activas.<\/p>\n Las contrase\u00f1as cifradas para cada host ESXi conectado se almacenan en una tabla dentro del servidor vCenter. Una clave secreta almacenada en el servidor vCenter facilita el descifrado de contrase\u00f1as y, en consecuencia, el control total sobre todos y cada uno de los hosts ESXi. Una vez descifrada, la cuenta “vpxuser” se puede utilizar para operaciones de permisos de root, incluida la modificaci\u00f3n de configuraciones, el cambio de contrase\u00f1as de otras cuentas, el inicio de sesi\u00f3n SSH y la ejecuci\u00f3n de ransomware.<\/p>\n Las campa\u00f1as de ransomware tienen como objetivo dificultar enormemente la recuperaci\u00f3n, obligando a la organizaci\u00f3n a pagar el rescate. Con los ataques ESXi, esto se logra apuntando a cuatro tipos de archivos que son esenciales para la continuidad operativa:<\/p>\n Dado que los archivos involucrados en los ataques de ransomware a los servidores ESXi son grandes, los atacantes suelen emplear un enfoque de cifrado h\u00edbrido. Combinan la rapidez del cifrado sim\u00e9trico con la seguridad del cifrado asim\u00e9trico.<\/p>\n Por lo tanto, en el ransomware, el cifrado asim\u00e9trico se utiliza principalmente para proteger las claves utilizadas en el cifrado sim\u00e9trico, en lugar de los datos en s\u00ed. Esto garantiza que las claves sim\u00e9tricas cifradas s\u00f3lo puedan ser descifradas por alguien que posea la clave privada correspondiente, es decir, el atacante. Hacerlo evita un f\u00e1cil descifrado, a\u00f1adiendo una capa adicional de seguridad para el atacante.<\/p>\n Una vez que hayamos reconocido que la seguridad de vCenter est\u00e1 en riesgo, el siguiente paso es fortalecer las defensas poniendo obst\u00e1culos en el camino de posibles atacantes. Aqu\u00ed hay algunas estrategias:<\/p>\n Proteger su vCenter de los ataques de ransomware ESXi es vital. Los riesgos asociados a un vCenter comprometido pueden afectar a toda su organizaci\u00f3n y a todos los que dependen de datos cr\u00edticos.<\/p>\n Las pruebas y evaluaciones peri\u00f3dicas pueden ayudar a identificar y abordar las brechas de seguridad antes de que se conviertan en problemas graves. Trabaje con expertos en seguridad que puedan ayudarle a implementar una Gesti\u00f3n continua de la exposici\u00f3n a amenazas (CTEM)<\/a> estrategia adaptada a su organizaci\u00f3n.<\/p>\n <\/p>\nLa arquitectura de ESXi<\/h2>\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Ransomware-en-ESXi-la-mecanizacion-de-los-ataques-virtualizados.png\")
<\/a><\/div>\nCifrado en ESXi<\/h2>\n
\n
\n
Cuatro estrategias clave para la mitigaci\u00f3n de riesgos<\/strong><\/h2>\n
\n
Pruebas continuas: fortaleciendo su seguridad ESXi<\/strong><\/h2>\n