{"id":26242,"date":"2023-04-27T00:18:36","date_gmt":"2023-04-27T06:18:36","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26242"},"modified":"2023-04-27T23:59:15","modified_gmt":"2023-04-28T05:59:15","slug":"linux-vmware-esxi-ransomware-attacks","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/26242\/","title":{"rendered":"Los ataques contra sistemas de virtualizaci\u00f3n y servidores Linux"},"content":{"rendered":"<p>Ya sabemos que el ransomware es muy desagradable. Pero \u00bfc\u00f3mo construir tus defensas contra \u00e9l? M\u00e1s bien, \u00bfqu\u00e9 debes proteger ante todo? A menudo, las estaciones de trabajo de Windows, los servidores de Active Directory y otros productos de Microsoft son los principales candidatos, una estrategia que suele estar justificada. Pero debemos tener en cuenta que las t\u00e1cticas de los ciberdelincuentes est\u00e1n en constante evoluci\u00f3n y que ya se est\u00e1n desarrollando <a href=\"https:\/\/securelist.com\/new-ransomware-trends-in-2022\/106457\/\" target=\"_blank\" rel=\"noopener\">herramientas maliciosas para servidores Linux<\/a> y sistemas de virtualizaci\u00f3n. De hecho, en el 2022, el n\u00famero total de ataques a sistemas Linux <a href=\"https:\/\/www.zdnet.com\/article\/linux-devices-increasingly-under-attack-from-hackers-warn-security-researchers\/\" target=\"_blank\" rel=\"noopener nofollow\">aument\u00f3 en aproximadamente un 75 %<\/a>.<\/p>\n<p>La motivaci\u00f3n que hay detr\u00e1s de estos ataques est\u00e1 muy clara: la popularidad del c\u00f3digo abierto y la virtualizaci\u00f3n est\u00e1 en aumento, lo que significa que cada vez hay m\u00e1s servidores que ejecutan Linux o VMWare ESXi. Estos pueden almacenar una gran cantidad de informaci\u00f3n cr\u00edtica que, si se cifra, puede paralizar al instante las operaciones de una empresa. Y, dado que la seguridad de los sistemas Windows ha sido tradicionalmente el centro de atenci\u00f3n, el resto de los servidores est\u00e1n demostrando ser una presa f\u00e1cil.<\/p>\n<h2>Los ataques en 2022 y 2023<\/h2>\n<ul>\n<li>En febrero del 2023, muchos propietarios de servidores VMware ESXi se vieron afectados por el brote de <a href=\"https:\/\/t.me\/kasperskyb2b\/448\" target=\"_blank\" rel=\"noopener nofollow\">ransomware ESXiArgs<\/a>. Aprovechando la vulnerabilidad CVE-2021-21974, los atacantes deshabilitaron las m\u00e1quinas virtuales y cifraron los archivos .vmxf, .vmx, .vmdk, .vmsd y .nvram.<\/li>\n<li>El famoso grupo Clop, conocido por un <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/clop-ransomware-claims-it-breached-130-orgs-using-goanywhere-zero-day\/\" target=\"_blank\" rel=\"noopener nofollow\">ataque a gran escala<\/a> contra los servicios vulnerables de transferencia de archivos Fortra GoAnywhere a trav\u00e9s de la <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-0669\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2023-0669<\/a>, fue detectado en diciembre del 2022 usando, aunque con limitaciones, una versi\u00f3n para Linux de su ransomware. Esta se diferencia significativamente de su equivalente para Windows (carece de algunas optimizaciones y trucos defensivos), pero se adapta a los permisos y tipos de usuarios de Linux y se dirige espec\u00edficamente a las <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/clop-ransomware-flaw-allowed-linux-victims-to-recover-files-for-months\/\" target=\"_blank\" rel=\"noopener nofollow\">carpetas de bases de datos de Oracle<\/a>.<\/li>\n<li>Una nueva versi\u00f3n del <a href=\"https:\/\/securelist.lat\/luna-black-basta-ransomware\/96915\/\" target=\"_blank\" rel=\"noopener\">ransomware BlackBasta<\/a> est\u00e1 dise\u00f1ada especialmente para ataques a hipervisores ESXi. La estrategia de cifrado utiliza el algoritmo ChaCha20 en el modo de m\u00faltiples subprocesos que involucra m\u00faltiples procesadores. Dado que las granjas ESXi suelen ser multiprocesador, este algoritmo minimiza el tiempo necesario para cifrar todo el entorno.<\/li>\n<li>Poco antes de su desintegraci\u00f3n, el grupo de ciberdelincuentes Conti tambi\u00e9n se arm\u00f3 con un ransomware que ten\u00eda a ESXi como objetivo. Por desgracia, dado que gran parte del c\u00f3digo de Conti acab\u00f3 filtrado, sus desarrollos ahora est\u00e1n en manos de los ciberdelincuentes.<\/li>\n<li>El ransomware BlackCat, escrito en Rust, tambi\u00e9n puede deshabilitar y eliminar m\u00e1quinas virtuales ESXi. En otros aspectos, el c\u00f3digo malicioso difiere ligeramente de la versi\u00f3n de Windows.<\/li>\n<li>El <a href=\"https:\/\/latam.kaspersky.com\/blog\/luna-blackbasta-ransomware\/25085\/\" target=\"_blank\" rel=\"noopener\">ransomware Luna<\/a>, que detectamos en el 2022, era originalmente una multiplataforma, capaz de ejecutarse en sistemas Windows, Linux y ESXi. Y, por supuesto, el grupo <a href=\"https:\/\/www.zdnet.com\/article\/this-sneaky-ransomware-is-now-targeting-linux-servers-too\/\" target=\"_blank\" rel=\"noopener nofollow\">LockBit<\/a> dif\u00edcilmente pudo ignorar esta tendencia y tambi\u00e9n comenz\u00f3 a ofrecer versiones para ESXi de su malware a los afiliados.<\/li>\n<li>En cuanto a los ataques m\u00e1s antiguos (aunque, lamentablemente, efectivos), tambi\u00e9n estaban las campa\u00f1as RansomEXX y QNAPCrypt, que afectaron en gran medida a los <a href=\"https:\/\/www.kaspersky.com\/blog\/linux-security-hybrid-cloud\/41259\/\" target=\"_blank\" rel=\"noopener nofollow\">servidores Linux<\/a>.<\/li>\n<\/ul>\n<h2>Las t\u00e1cticas de ataque contra el servidor<\/h2>\n<p>Para penetrar en servidores Linux, generalmente hay que explotar vulnerabilidades. Los atacantes pueden convertir estas vulnerabilidades en armas dentro del sistema operativo, los servidores web y otras aplicaciones b\u00e1sicas, as\u00ed como en las aplicaciones corporativas, las bases de datos y los sistemas de virtualizaci\u00f3n. Como <a href=\"https:\/\/latam.kaspersky.com\/blog\/log4shell-critical-vulnerability-in-apache-log4j\/23571\/\" target=\"_blank\" rel=\"noopener\">demostr\u00f3 Log4Shell el a\u00f1o pasado<\/a>, las vulnerabilidades en los componentes de c\u00f3digo abierto requieren una atenci\u00f3n especial. Despu\u00e9s de una infracci\u00f3n inicial, muchas cepas del ransomware utilizan trucos o vulnerabilidades adicionales para elevar los privilegios y cifrar el sistema.<\/p>\n<h2>Medidas de seguridad prioritarias para servidores Linux<\/h2>\n<p>Para minimizar las posibilidades de ataque que afecten a los servidores Linux, te recomendamos:<\/p>\n<ul>\n<li>Reparar las vulnerabilidades de inmediato.<\/li>\n<li>Minimizar la cantidad de conexiones y puertos abiertos a Internet.<\/li>\n<li>Implementar <a href=\"https:\/\/latam.kaspersky.com\/enterprise-security\/cloud-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">herramientas de seguridad especializadas<\/a> en servidores para proteger tanto el propio sistema operativo como las m\u00e1quinas virtuales y los contenedores alojados en el servidor. Para m\u00e1s informaci\u00f3n sobre c\u00f3mo protegerte en Linux, visita <a href=\"https:\/\/www.kaspersky.com\/blog\/linux-security-hybrid-cloud\/41259\/\" target=\"_blank\" rel=\"noopener nofollow\">nuestra publicaci\u00f3n especializada<\/a>.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"24810\">\n","protected":false},"excerpt":{"rendered":"<p>Los sistemas basados en Linux y ESXi cada vez est\u00e1n sufriendo m\u00e1s ataques de ransomware. \u00bfC\u00f3mo puedes proteger tus servidores?<\/p>\n","protected":false},"author":2581,"featured_media":26244,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[638,5877,893,472,192,5044],"class_list":{"0":"post-26242","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-amenazas","9":"tag-esxi","10":"tag-linux","11":"tag-ransomware","12":"tag-tecnologia","13":"tag-vmware"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/26242\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/linux-vmware-esxi-ransomware-attacks\/25554\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/20973\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/28180\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/linux-vmware-esxi-ransomware-attacks\/25849\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/linux-vmware-esxi-ransomware-attacks\/28727\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/linux-vmware-esxi-ransomware-attacks\/35166\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/linux-vmware-esxi-ransomware-attacks\/47988\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/linux-vmware-esxi-ransomware-attacks\/20481\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/linux-vmware-esxi-ransomware-attacks\/21162\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/linux-vmware-esxi-ransomware-attacks\/30054\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/linux-vmware-esxi-ransomware-attacks\/33801\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/linux-vmware-esxi-ransomware-attacks\/26170\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/linux-vmware-esxi-ransomware-attacks\/31858\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/linux-vmware-esxi-ransomware-attacks\/31542\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26242","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=26242"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26242\/revisions"}],"predecessor-version":[{"id":26256,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26242\/revisions\/26256"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/26244"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=26242"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=26242"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=26242"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}