El ransomware en entornos virtuales

Varios grupos de ciberdelincuentes se han aprovechado de las vulnerabilidades de VMware ESXi para infectar equipos con ransomware.

Aunque reduce significativamente algunos riesgos de ciberamenazas, la virtualización no representa la panacea respecto a cualquier otra práctica. Un ataque de ransomware aún podría afectar la infraestructura virtual, como informó ZDNet recientemente, por ejemplo, a través de versiones vulnerables de VMware ESXi.

El uso de máquinas virtuales es una práctica sólida y segura. Por ejemplo, el uso de una máquina virtual puede mitigar el daño de una infección si la máquina virtual no contiene datos confidenciales. De hecho, aunque el usuario active por accidente un troyano en una máquina virtual, el simple hecho de montar una imagen nueva de la máquina virtual revierte cualquier cambio malicioso.

Sin embargo, el ransomware RansomExx se dirige específicamente a las vulnerabilidades en VMware ESXi para atacar los discos duros virtuales. Se ha detectado que el grupo Darkside usa este mismo método y los creadores del troyano BabukLocker insinúan que pueden cifrar ESXi.

¿Cuáles son las vulnerabilidades?

El hipervisor VMware ESXi permite que varias máquinas virtuales almacenen información en un solo servidor a través de Open SLP (Service Layer Protocol), que puede, entre otras cosas, detectar dispositivos de red sin configuración previa. Las dos vulnerabilidades en cuestión son CVE-2019-5544 y CVE-2020-3992, ambas antiguas y, por lo tanto, conocidas para los ciberdelincuentes. La primera se utiliza para realizar un ataque de heap overflow o desbordamiento de montículo y la segunda es del tipo de uso después de liberación, es decir, está relacionada con el uso incorrecto de la memoria dinámica durante la operación.

Ambas vulnerabilidades se cerraron hace un tiempo (la primera en el 2019, la segunda en el 2020), pero en el 2021, los delincuentes aún siguen realizando ataques exitosos a través de ellas. Como de costumbre, eso significa que algunas organizaciones no han actualizado su software.

Cómo explotan los ciberdelincuentes las vulnerabilidades de ESXi

Los atacantes pueden utilizar las vulnerabilidades para generar solicitudes SLP maliciosas y comprometer el almacenamiento de datos. Para cifrar la información, primero necesitan, por supuesto, penetrar en la red y afianzarse allí. Esto no supone un gran problema, sobre todo si la máquina virtual no está ejecutando una solución de seguridad.

Para atrincherarse en el sistema, los operadores de RansomExx pueden, por ejemplo, usar la vulnerabilidad Zerologon (en el Protocolo remoto de Netlogon). Es decir, engañan al usuario para que ejecute un código malicioso en la máquina virtual, luego toman el control del controlador del Directorio Activo y solo entonces cifran el almacenamiento, dejando una nota de rescate.

Por cierto, Zerologon no es la única opción, pero sí una de las más peligrosas debido a que su explotación es casi imposible de detectar sin servicios especiales.

Cómo mantenerse protegido de los ataques a MSXI

  • Actualiza VMware ESXi.
  • Utiliza la solución alternativa sugerida por VMware si la actualización es absolutamente imposible (pero ten en cuenta que este método limitará algunas funciones de SLP).
  • Actualiza Microsoft Netlogon para parchear esa vulnerabilidad también.
  • Protege todas las máquinas de la red, incluidas las virtuales.
  • Utiliza Managed Detection and Response, que detecta incluso ataques complejos de varias etapas que no son visibles para las soluciones antivirus convencionales.

 

Consejos