Grupos de Ransomware Aprovechan Falla de VMware ESXI

Una falla de seguridad recientemente parcheada que afecta a los hipervisores VMware ESXi ha sido explotada activamente por "varios" grupos de ransomware para obtener permisos elevados e implementar malware de cifrado de archivos. [4] 

Los ataques de virtualización siguen una secuencia similar ya que involucra varios grupos de ransomware: LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat, Cheerscrypt. [1] 

Los ataques implican la explotación de CVE-2024-37085 (puntuación CVSS: 6.8), Se observó más de 20,000 instancias vulnerables a través de Internet el 30 de julio. No parece haber cambios significativos en las estadísticas al 31 de julio. Una omisión de autenticación de integración de Active Directory que permite a un atacante obtener acceso administrativo al host. [4] 

Microsoft, en un análisis publicado el 29 de julio, observó a operadores de ransomware como Storm-0506, Storm-1175 (un actor de amenazas con sede en China conocido por implementar el ransomware Medusa), Octo Tempest y Manatee Tempest aprovechando para implementar Akira y Black Basta. [5]

Figura 1. Diagrama de comportamiento de Storm-0506. [4]

El ingeniero de investigación de Tenable, Scott Caveza, menciona que un atacante necesitaría acceso con privilegios al entorno de AD para explotar con exito la vulnerabilidad. [4] 

Existen 8 Fases principales en un ataque de virtualización. [1] 

• Acceso Inicial: Ataques de phishing, descargar archivos maliciosos. 

• Movimiento lateral y escalada de privilegios: Aumentan sus privilegios para obtener credenciales para hosts ESXi o vCenter. Esto se logra mediante métodos como ataques de fuerza bruta, ejecutar intentos de secuestro de RDP dirigidos al personal de TI o utilizar exploits como ESXiArgs. 

• Validación de acceso: Si se deniega el acceso directo, los atacantes habilitan SSH en todos los servidores ESXI utilizando vCenter, pueden restablecer las contraseñas de servidores o con los paquetes de instalación de vSphere. 

• Implementación de ransomware virtualizado: Los actores de amenazas utilizan su acceso para conectarse a ESXi y ejecutar el ransomware en los hosts ESXi. 

• Compromiso de copias de seguridad: Al cifrar o eliminar los respaldos, en algunos casos cambian la contraseña del servidor para que no puedan recuperar el entorno virtual y tengan una ventaja sobre las víctimas. 

• Exfiltración de datos: Los actores de amenazas implementan una doble extorsión, no solo cifrando archivos existentes sino divulgando públicamente datos de por medio de Mega, Dropbox o en sus servidores propios. 

• Ejecución de ransomware: Apagan todas las máquinas y del sistema ESXI cifran la carpeta “/vmfs/volumes”. 

• Implementación de ransomware adicional: Propagan ransomware adicional a servidores y estaciones de trabajo no virtualizados, amplificando el impacto del ataque más allá del ámbito de la virtualización, obteniendo acceso a los mecanismos de implementación SCCM o (Active Directory). 

  
  Figura 2: Cadena del Ransomware ESXi [1]

Recomendaciones

• Existen 4 estrategias importantes sobre mitigación: 

  Complementando el boletín publicado por el equipo de CDC de Alestra, “MEJORES PRÁCTICAS DE SEGURIDAD PARA VMWARE ESXI”.[3] 

• Supervisión: Para facilitar el examen forense, se deben implementar controles y registros para que se garantice la detección de ataques. 

• Recopilación de registros: Hay que asegurar que los componentes de virtualización como ESXi, vCenter y almacenamiento envié los registros al SIEM, hay que tomar en cuenta que algunos actores de amenazas cifran o eliminan los registros para ocultar sus actividades. 
  El archivo auth.log (/var/log/auth.log) contiene todos los intentos de autenticación en los hosts ESXi. 

• Alertas SIEM: Configuración de alertas para comportamiento sospechoso, esto puede variar por cambios de contraseña de root, cambios críticos, desactivación de funciones y la instalación de VIB de terceros. 
  
   

• El host ESXi apaga las máquinas virtuales, también ejecuta comandos incluidas las frases: 
  *./cifrador* | *sudo. /encriptador | *cifrador/vmfs/volúmenes* 

• Buscar cuentas de usuario anormales o sospechosas en los inicios de sesión  

• Restricciones de Red: Las políticas de red obstaculizarán el movimiento lateral de un adversario. Es vital asegurarse de que solo se permita el acceso requerido. [2]
  
  Para mitigar los riesgos que plantean las amenazas, se recomienda que las organizaciones garanticen que exista un monitoreo, que se creen mecanismos de respaldo sólidos, apliquen medidas de autenticación sólidas, refuercen el entorno e implementen restricciones de red para evitar el movimiento lateral. [2] 

Referencias

1. Sygnia. (2024, 21 mayo). ESXi Ransomware Attacks: Evolution, Impact, and Defense Strategy. Sygnia. https://www.sygnia.co/blog/esxi-ransomware-attacks/ 
2. May 23, 2024, newsroom. (2024, mayo 23). Ransomware attacks exploit VMware ESXi vulnerabilities in alarming pattern. The Hacker News. https://thehackernews.com/2024/05/ransomware-attacks-exploit-vmware-esxi.html 
3. Alestra CSIRT. (s/f). Com.mx. 24 de mayo de 2024, de https://csirt.axtel.com.mx/bulletin/post/186 
4. The Hacker News. (s. f.-d). VMware ESXi Flaw Exploited by Ransomware Groups for Admin Access. https://thehackernews.com/2024/07/vmware-esxi-flaw-exploited-by.html 
5. Intelligence, M. T. (2024, 30 julio). Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption. Microsoft Security Blog. https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/ 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios