Blog by Root View

Encontrá todas las novedades sobre la ciberseguridad, infraestructura y desarrollo.

Ransomware cifra los servidores VMware ESXi con script de Python

Operadores de una banda de ransomware desconocida están utilizando un script de Python para cifrar las máquinas virtuales alojadas en los servidores VMware ESXi.

Si bien el lenguaje de programación Python no se usa comúnmente en el desarrollo de ransomware, es una opción lógica para los sistemas ESXi, ya que dichos servidores basados ​​en Linux vienen con Python instalado de forma predeterminada.

Como descubrieron recientemente los investigadores de Sophos mientras investigaban un incidente de ransomware, se utilizó un script de ransomware de Python para cifrar las máquinas virtuales de una víctima que se ejecutan en un hipervisor ESXi vulnerable dentro de las tres horas posteriores a la violación inicial.

“Una investigación recientemente concluida sobre un ataque de ransomware reveló que los atacantes ejecutaron un script Python personalizado en el hipervisor de la máquina virtual del objetivo para cifrar todos los discos virtuales, desconectando las máquinas virtuales de la organización”, dijo el investigador principal de SophosLabs, Andrew Brandt.

“En lo que fue uno de los ataques más rápidos que Sophos ha investigado, desde el momento del compromiso inicial hasta la implementación del script de ransomware, los atacantes solo pasaron poco más de tres horas en la red del objetivo antes de cifrar los discos virtuales en un servidor VMware ESXi.”

VM cifradas con un script de 6 kb

En medio de la noche, los atacantes violaron la red de la víctima durante el fin de semana al iniciar sesión en una cuenta de TeamViewer que se ejecuta en un dispositivo con un administrador de dominio conectado.

Una vez dentro, comenzaron a buscar en la red objetivos adicionales utilizando Advanced IP Scanner e iniciaron sesión en un servidor ESXi a través del servicio SSH ESXi Shell integrado, que el personal de TI dejó activado accidentalmente (aunque está desactivado de forma predeterminada).

Luego, los operadores de ransomware ejecutaron un script Python de 6 kb para cifrar el disco virtual de todas las máquinas virtuales y los archivos de configuración de la máquina virtual.

El script, parcialmente recuperado mientras se investigaba el incidente, permite a los operadores de ransomware utilizar varias claves de cifrado y direcciones de correo electrónico y personalizar el sufijo de archivo para los archivos cifrados.

Funciona apagando las máquinas virtuales, sobrescribiendo los archivos originales almacenados en los volúmenes del almacén de datos y luego eliminándolos para bloquear los intentos de recuperación y dejando atrás los archivos cifrados.

“Los administradores que operan ESXi u otros hipervisores en sus redes deben seguir las mejores prácticas de seguridad, evitando la reutilización de contraseñas y utilizando contraseñas complejas, difíciles de usar por fuerza bruta de longitud adecuada”, recomendó Brandt.

“Siempre que sea posible, habilite el uso de autenticación multifactor y aplique el uso de MFA para cuentas con permisos altos, como administradores de dominio”.

VMware también brinda consejos sobre cómo proteger los servidores ESXi al limitar el riesgo de acceso no autorizado y la superficie de ataque en el hipervisor.

Servidores VMware ESXi bajo ataque

Atacar servidores ESXi es una táctica altamente disruptiva para los grupos de ransomware, ya que la mayoría de ellos ejecutan múltiples máquinas virtuales simultáneamente, con servicios y aplicaciones críticos para el negocio implementados en muchos de ellos.

Varias bandas de ransomware, incluidas Darkside, RansomExx y Babuk Locker, han aprovechado los errores de RCE previos a la autenticación de VMWare ESXi para cifrar los discos duros virtuales utilizados como espacio de almacenamiento empresarial centralizado.

Este no es el primer incidente en el que se han utilizado herramientas maliciosas basadas en Python para atacar servidores VMware expuestos a Internet.

En junio, los investigadores detectaron el malware FreakOut multiplataforma basado en Python dirigido a dispositivos Windows y Linux actualizado para abrirse camino en los servidores VMware vCenter sin parchear contra un error crítico de RCE en todas las instalaciones predeterminadas.

FreakOut es un script de Python ofuscado diseñado para evadir la detección con la ayuda de un motor polimórfico y un rootkit en modo de usuario que oculta los archivos maliciosos que se encuentran en los sistemas infectados.

Las versiones Linux de HelloKitty y BlackMatter ransomware también se detectaron en la naturaleza en julio y agosto, ambas dirigidas a la plataforma de máquina virtual ESXi de VMware.

Para empeorar las cosas, dado que VMware ESXi es una de las plataformas de máquinas virtuales empresariales más populares, si no la más popular, casi todas las bandas de ransomware dirigidas a empresas han comenzado a desarrollar sus cifradores diseñados para apuntar específicamente a las máquinas virtuales ESXi.

Fuente: Bleeping Computer

Total
1
Shares
Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Prev
Piratas informáticos roban a miles de clientes de Coinbase utilizando una falla de MFA

Piratas informáticos roban a miles de clientes de Coinbase utilizando una falla de MFA

El exchange de criptomonedas Coinbase reveló que un actor de amenazas robó

Next
Digital Signature Spoofing en OpenOffice y LibreOffice

Digital Signature Spoofing en OpenOffice y LibreOffice

Los mantenedores de LibreOffice y OpenOffice han enviado actualizaciones de

También te podría gustar...
Total
1
Share