{"id":21527,"date":"2021-03-30T09:30:51","date_gmt":"2021-03-30T15:30:51","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=21527"},"modified":"2021-03-30T09:30:51","modified_gmt":"2021-03-30T15:30:51","slug":"ransomware-in-virtual-environment","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/ransomware-in-virtual-environment\/21527\/","title":{"rendered":"Ransomware en un ambiente virtual"},"content":{"rendered":"

Aunque reduce de manera considerable algunos riesgos de ciberamenazas, la virtualizaci\u00f3n es una panacea tanto como otras pr\u00e1cticas. Un ataque de ransomware<\/em> a\u00fan puede afectar la infraestructura virtual, como ZDNet<\/a> inform\u00f3 recientemente, por ejemplo, a trav\u00e9s de versiones vulnerables de VMware ESXi.<\/p>\n

El uso de m\u00e1quinas virtuales (VM) es una pr\u00e1ctica s\u00f3lida y segura.\u00a0 Por ejemplo, utilizar una VM puede mitigar el da\u00f1o de una infecci\u00f3n si la m\u00e1quina virtual no resguarda informaci\u00f3n sensible. Incluso si el usuario accidentalmente activa un troyano en una m\u00e1quina virtual, es posible revertir cualquier cambio malicioso si se monta una imagen nueva en dicha m\u00e1quina.<\/p>\n

Sin embargo, el ransomware<\/em> RansomExx<\/a> se dirige espec\u00edficamente a vulnerabilidades en VMware ESXi para atacar discos duros virtuales. \u00a0Se informa que el grupo Darkside utiliza el mismo m\u00e9todo, y los creadores del troyano BabukLocker insin\u00faan<\/a> que puede cifrar ESXi.<\/p>\n

\u00bfCu\u00e1les son las vulnerabilidades?<\/h2>\n

El hipervisor VMware ESXi permite que varias m\u00e1quinas virtuales almacenen informaci\u00f3n en un solo servidor mediante un SLP (Service Layer Protocol<\/em>) abierto, el cual puede, entre otras cosas, detectar dispositivos de red sin preconfiguraci\u00f3n. Las dos vulnerabilidades en cuesti\u00f3n son CVE-2019-5544<\/a> y CVE-2020-3992<\/a>, ambas con antig\u00fcedad y, por lo tanto, no son nuevas para los cibercriminales. La primera se utiliza para realizar ataques heap overflow<\/em> o de desbordamiento de la pila<\/a>, y el segundo es del tipo Use-After-Free<\/a>, es decir, relacionado con el uso incorrecto de la memoria din\u00e1mica durante la operaci\u00f3n.<\/p>\n

Ambas vulnerabilidades fueron cerradas hace tiempo (la primera en 2019 y la segunda en 2020), pero en 2021, los criminales todav\u00eda llevan a cabo ataques exitosos mediante \u00e9stas.\u00a0 Como siempre, esto significa que algunas organizaciones no han actualizado su software.<\/p>\n

C\u00f3mo los malhechores explotan las vulnerabilidades de ESXi<\/h2>\n

Los atacantes pueden utilizar las vulnerabilidades para generar solicitudes de SLP maliciosas y comprometer el almacenamiento de datos. Para cifrar la informaci\u00f3n primero deben, por supuesto, penetrar la red y ganar terreno ah\u00ed. Esto no es gran problema, especialmente si la m\u00e1quina virtual no est\u00e1 ejecutando una soluci\u00f3n de seguridad.<\/p>\n

Para afianzarse en el sistema, los operadores de RansomExx puede, por ejemplo, utilizar la vulnerabilidad Zerologon<\/a> (en el Protocolo remoto de Netlogon). Es decir, enga\u00f1an a un usuario para que ejecute un c\u00f3digo malicioso en la m\u00e1quina virtual, despu\u00e9s toman el control del controlador de Active Directory, y solo entonces cifran el almacenamiento, y dejan una nota de rescate.<\/p>\n

Por cierto, Zerologon no es la \u00fanica opci\u00f3n, s\u00f3lo una de las m\u00e1s peligrosas porque su explotaci\u00f3n es casi imposible de detectar sin [MDR placeholder]servicios especiales[\/MDR placeholder].<\/p>\n

C\u00f3mo permanecer protegido de los ataques a MSXI<\/h2>\n