Los investigadores de ciberseguridad han encontrado que los ataques de ransomware se dirigen a Sistemas ESXI<\/a> Tambi\u00e9n est\u00e1n aprovechando el acceso al reutilizaci\u00f3n de los electrodom\u00e9sticos como un conducto para el tr\u00e1fico de t\u00fanel a la infraestructura de comando y control (C2) y permanecer bajo el radar.<\/p>\n “Los electrodom\u00e9sticos ESXI, que no son superiturados, son cada vez m\u00e1s explotados como un mecanismo de persistencia y una puerta de entrada para acceder a las redes corporativas ampliamente”, los investigadores de Sygnia Zhongyuan Hau (Aaron) y Ren Jie Yoww dicho<\/a> en un informe publicado la semana pasada.<\/p>\n “Los actores de amenaza usan estas plataformas adoptando t\u00e9cnicas de ‘vida-off-the-land’ y utilizando herramientas nativas como SSH para establecer un t\u00fanel de calcetines entre sus servidores C2 y el entorno comprometido”.<\/p>\n Al hacerlo, la idea es mezclar con el tr\u00e1fico leg\u00edtimo y establecer la persistencia a largo plazo en la red comprometida con poca o no detecci\u00f3n por los controles de seguridad.<\/p>\n La compa\u00f1\u00eda de ciberseguridad dijo que en muchos de sus compromisos de respuesta a incidentes, los sistemas ESXi se vieron comprometidos mediante el uso de credenciales de administraci\u00f3n o aprovechando una vulnerabilidad de seguridad conocida para superar las protecciones de autenticaci\u00f3n. Posteriormente, se ha encontrado que los actores de la amenaza configuran un t\u00fanel utilizando SSH u otras herramientas con funcionalidad equivalente.<\/p>\n “Dado que los electrodom\u00e9sticos ESXI son resistentes y rara vez cierran inesperadamente, este t\u00fanel sirve como una puerta trasera semi-persistente dentro de la red”, se\u00f1alaron los investigadores.<\/p>\n Sygnia tambi\u00e9n ha destacado los desaf\u00edos en el monitoreo de registros de ESXi, enfatizando la necesidad de configurar el reenv\u00edo de registro para capturar todos los eventos relevantes en un lugar para investigaciones forenses.<\/p>\n Para detectar ataques que implican el uso de t\u00faneles SSH en electrodom\u00e9sticos ESXI, se ha recomendado que las organizaciones revisen los siguientes cuatro archivos de registro –<\/p>\n El desarrollo se produce cuando el Centro de Inteligencia de Seguridad AhnLab (ASEC) detall\u00f3 un ataque montado por el grupo Anderiel vinculado a Corea del Norte que implica el uso de una t\u00e9cnica conocida como identificador relativo (DESHACERSE<\/a>) secuestro para modificar encubierte el registro de Windows para asignar un invitado o permisos administrativos de cuenta de baja privilegia durante el siguiente inicio de sesi\u00f3n.<\/p>\n El persistencia<\/a> m\u00e9todo<\/a> es astuto, ya que aprovecha el hecho de que las cuentas regulares no est\u00e1n sujetas al mismo nivel de vigilancia que la cuenta del administrador, lo que permite a los actores de amenaza realizar acciones maliciosas mientras permanecen sin detectar.<\/p>\n Sin embargo, para realizar el secuestro de RID, el adversario ya debe haber comprometido una m\u00e1quina y haber obtenido privilegios administrativos o del sistema, ya que requiere cambiar el valor RID de la cuenta est\u00e1ndar a la de la cuenta del administrador (500).<\/p>\n En la cadena de ataque documentada por ASEC, se dice que el actor de amenaza cre\u00f3 una nueva cuenta y asign\u00f3 privilegios de administrador de TI utilizando este enfoque, despu\u00e9s de obtener privilegios del sistema utilizando herramientas de escalada de privilegios como PSEXEC y JuicyPotato.<\/p>\n “El actor de amenaza luego agreg\u00f3 la cuenta creada al grupo de usuarios de escritorio remoto y al grupo de administradores utilizando el comando ‘NET LOCALGROUP'”, la compa\u00f1\u00eda dicho<\/a>. “Cuando se agrega una cuenta al grupo de usuarios de escritorio remoto, se puede acceder a la cuenta utilizando RDP”.<\/p>\n “Una vez que se ha cambiado el valor de RID, el sistema operativo Windows reconoce la cuenta creada por el actor de amenaza que tiene los mismos privilegios que la cuenta de destino, lo que permite la escalada de privilegios”.<\/p>\n En noticias relacionadas, tambi\u00e9n se ha descubierto que un enfoque basado en los puntos de interrupci\u00f3n de hardware podr\u00eda aprovecharse para evitar el rastreo de eventos para Windows (ETW<\/a>) Detecciones, que proporciona un mecanismo para registrar eventos planteados por aplicaciones en modo de usuario y controladores de modo de kernel.<\/p>\n Esto implica usar una funci\u00f3n de Windows nativa llamada Ntcontinue<\/a>en lugar de setThreadContext, para establecer registros de depuraci\u00f3n y evitar activar el registro de ETW y los eventos analizados por EDRS para marcar la actividad sospechosa, por lo que se basa en la telemetr\u00eda que se basa en SetThreadContext.<\/p>\n “Al aprovechar los puntos de interrupci\u00f3n de hardware a nivel de la CPU, los atacantes pueden enganchar las funciones y manipular la telemetr\u00eda en la tierra del usuario sin parches de n\u00facleo directo, desafiando las defensas tradicionales”, el investigador pretoriano Rad Kawar dicho<\/a>.<\/p>\n “Esto es importante porque destaca una t\u00e9cnica que los adversarios pueden usar para evadir y mantener sigiloso mientras implementan ganchos” sin parches “que evitan el escaneo de AMSI y evitan el registro de ETW”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Ransomware-se-dirige-a-los-sistemas-ESXi-a-traves-de.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n
Andariel emplea el secuestro de Rid<\/h3>\n
<\/a><\/div>\n<\/a><\/center><\/div>\nNueva t\u00e9cnica para la evasi\u00f3n de EDR<\/h3>\n