Ransomware en un ambiente virtual

Varios grupos de cibercriminales han explotado las vulnerabilidades en VMware ESXi para infectar computadoras con ransomware.

Aunque reduce de manera considerable algunos riesgos de ciberamenazas, la virtualización es una panacea tanto como otras prácticas. Un ataque de ransomware aún puede afectar la infraestructura virtual, como ZDNet informó recientemente, por ejemplo, a través de versiones vulnerables de VMware ESXi.

El uso de máquinas virtuales (VM) es una práctica sólida y segura.  Por ejemplo, utilizar una VM puede mitigar el daño de una infección si la máquina virtual no resguarda información sensible. Incluso si el usuario accidentalmente activa un troyano en una máquina virtual, es posible revertir cualquier cambio malicioso si se monta una imagen nueva en dicha máquina.

Sin embargo, el ransomware RansomExx se dirige específicamente a vulnerabilidades en VMware ESXi para atacar discos duros virtuales.  Se informa que el grupo Darkside utiliza el mismo método, y los creadores del troyano BabukLocker insinúan que puede cifrar ESXi.

¿Cuáles son las vulnerabilidades?

El hipervisor VMware ESXi permite que varias máquinas virtuales almacenen información en un solo servidor mediante un SLP (Service Layer Protocol) abierto, el cual puede, entre otras cosas, detectar dispositivos de red sin preconfiguración. Las dos vulnerabilidades en cuestión son CVE-2019-5544 y CVE-2020-3992, ambas con antigüedad y, por lo tanto, no son nuevas para los cibercriminales. La primera se utiliza para realizar ataques heap overflow o de desbordamiento de la pila, y el segundo es del tipo Use-After-Free, es decir, relacionado con el uso incorrecto de la memoria dinámica durante la operación.

Ambas vulnerabilidades fueron cerradas hace tiempo (la primera en 2019 y la segunda en 2020), pero en 2021, los criminales todavía llevan a cabo ataques exitosos mediante éstas.  Como siempre, esto significa que algunas organizaciones no han actualizado su software.

Cómo los malhechores explotan las vulnerabilidades de ESXi

Los atacantes pueden utilizar las vulnerabilidades para generar solicitudes de SLP maliciosas y comprometer el almacenamiento de datos. Para cifrar la información primero deben, por supuesto, penetrar la red y ganar terreno ahí. Esto no es gran problema, especialmente si la máquina virtual no está ejecutando una solución de seguridad.

Para afianzarse en el sistema, los operadores de RansomExx puede, por ejemplo, utilizar la vulnerabilidad Zerologon (en el Protocolo remoto de Netlogon). Es decir, engañan a un usuario para que ejecute un código malicioso en la máquina virtual, después toman el control del controlador de Active Directory, y solo entonces cifran el almacenamiento, y dejan una nota de rescate.

Por cierto, Zerologon no es la única opción, sólo una de las más peligrosas porque su explotación es casi imposible de detectar sin [MDR placeholder]servicios especiales[/MDR placeholder].

Cómo permanecer protegido de los ataques a MSXI

  • Actualiza VMware ESXi.
  • Utiliza la solución alternativa sugerida de VMware en caso de que sea imposible actualizar (pero ten en cuenta que este método limitará algunas de las características del SLP).
  • Actualiza Microsoft Netlogon para parchear también la vulnerabilidad.
  • Protege todos los equipos de la red, incluidas las máquinas virtuales.
  • Utiliza Managed Detection and Response, el cual detecta ataques multietapas incluso más complejos que no son visibles para las soluciones de antivirus convencionales.
Consejos