La falta de supervisión en ESXi facilita los ataques de ransomware
Los actores de ransomware están atacando hipervisores ESXi, aprovechando túneles SSH para infiltrarse en redes corporativas y robar datos.
Los actores de ransomware están dirigiendo su atención hacia los hipervisores ESXi, utilizando túneles SSH para acceder a los sistemas sin ser detectados. Los dispositivos VMware ESXi desempeñan un papel crucial en los entornos virtuales, ya que permiten ejecutar múltiples máquinas virtuales desde un solo servidor físico. Sin embargo, como reveló la investigación de Sygnia, estos sistemas suelen ser monitoreados de manera escasa, convirtiéndolos en un objetivo atractivo para los hackers que buscan infiltrarse en redes corporativas.
Una vez dentro, los atacantes pueden robar datos y cifrar archivos, paralizando así la operación de toda una empresa al hacer inalcanzables todas las máquinas virtuales. Sygnia informa que los delincuentes generalmente logran comprometer sistemas al explotar vulnerabilidades conocidas o utilizar credenciales de administrador comprometidas.
Los hipervisores ESXi cuentan con un servicio SSH incorporado que permite a los administradores gestionar el hipervisor de forma remota. Sin embargo, los actores de ransomware abusan de esta funcionalidad para alcanzar persistencia, moverse lateralmente dentro de la red y desplegar cargas útiles de ransomware. Debido a que muchas organizaciones no monitorean activamente la actividad SSH en ESXi, los atacantes pueden utilizar esta herramienta de manera encubierta.
Una vez que los hackers han accedido al dispositivo, establecer un túnel es sencillo, ya sea utilizando la funcionalidad nativa de SSH o implementando otras herramientas comúnmente utilizadas con capacidades similares. Sygnia advirtió que, dado que los dispositivos ESXi son resistentes y rara vez se apagan de manera inesperada, este túnel actúa como una puerta trasera semipermanente dentro de la red.
Otro desafío identificado por Sygnia es la dificultad para monitorear los registros de ESXi, lo que crea brechas significativas de visibilidad que los actores de ransomware pueden explotar. A diferencia de la mayoría de los sistemas, donde los registros se agregan en un solo archivo de syslog, ESXi distribuye sus registros en múltiples archivos dedicados, lo que dificulta la búsqueda de evidencia al requerir la fusión de información de múltiples fuentes.
La firma de ciberseguridad recomienda a los administradores del sistema que revisen ciertos archivos de registro para detectar la actividad de túneles SSH y ransomware. Estos archivos incluyen: `/var/log/shell.log`, que rastrea la ejecución de comandos; `/var/log/hostd.log`, que registra actividades administrativas y autenticaciones de usuario; `/var/log/auth.log`, que contiene intentos de inicio de sesión y eventos de autenticación; y `/var/log/vobd.log`, que registra eventos del sistema y de seguridad.
Cabe destacar que los atacantes de ransomware a menudo eliminan registros para borrar evidencia de su acceso SSH, alterando marcas de tiempo o acortando logs para confundir a los investigadores, lo que complica la tarea de encontrar pruebas. Se recomienda encarecidamente que las organizaciones centralicen sus registros de ESXi a través del reenvío de syslog e integren esta información en un sistema de Gestión de Información y Eventos de Seguridad (SIEM) para detectar actividades anómalas.