{"id":24993,"date":"2021-03-30T12:38:56","date_gmt":"2021-03-30T10:38:56","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=24993"},"modified":"2021-04-04T21:28:28","modified_gmt":"2021-04-04T19:28:28","slug":"ransomware-in-virtual-environment","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/ransomware-in-virtual-environment\/24993\/","title":{"rendered":"El ransomware en entornos virtuales"},"content":{"rendered":"

Aunque reduce significativamente algunos riesgos de ciberamenazas, la virtualizaci\u00f3n no representa la panacea respecto a cualquier otra pr\u00e1ctica. Un ataque de ransomware<\/em> a\u00fan podr\u00eda afectar la infraestructura virtual, como inform\u00f3 ZDNet<\/a> recientemente, por ejemplo, a trav\u00e9s de versiones vulnerables de VMware ESXi.<\/p>\n

El uso de m\u00e1quinas virtuales es una pr\u00e1ctica s\u00f3lida y segura. Por ejemplo, el uso de una m\u00e1quina virtual puede mitigar el da\u00f1o de una infecci\u00f3n si la m\u00e1quina virtual no contiene datos confidenciales. De hecho, aunque el usuario active por accidente un troyano en una m\u00e1quina virtual, el simple hecho de montar una imagen nueva de la m\u00e1quina virtual revierte cualquier cambio malicioso.<\/p>\n

Sin embargo, el ransomware<\/em> RansomExx<\/a> se dirige espec\u00edficamente a las vulnerabilidades en VMware ESXi para atacar los discos duros virtuales. Se ha detectado que el grupo Darkside usa este mismo m\u00e9todo y los creadores del troyano BabukLocker insin\u00faan<\/a> que pueden cifrar ESXi.<\/p>\n

\u00bfCu\u00e1les son las vulnerabilidades?<\/h2>\n

El hipervisor VMware ESXi permite que varias m\u00e1quinas virtuales almacenen informaci\u00f3n en un solo servidor a trav\u00e9s de Open SLP (Service Layer Protocol), que puede, entre otras cosas, detectar dispositivos de red sin configuraci\u00f3n previa. Las dos vulnerabilidades en cuesti\u00f3n son CVE-2019-5544<\/a> y CVE-2020-3992<\/a>, ambas antiguas y, por lo tanto, conocidas para los ciberdelincuentes. La primera se utiliza para realizar un ataque de heap overflow<\/em> o desbordamiento de mont\u00edculo<\/a> y la segunda es del tipo de uso despu\u00e9s de liberaci\u00f3n<\/a>, es decir, est\u00e1 relacionada con el uso incorrecto de la memoria din\u00e1mica durante la operaci\u00f3n.<\/p>\n

Ambas vulnerabilidades se cerraron hace un tiempo (la primera en el 2019, la segunda en el 2020), pero en el 2021, los delincuentes a\u00fan siguen realizando ataques exitosos a trav\u00e9s de ellas. Como de costumbre, eso significa que algunas organizaciones no han actualizado su software<\/em>.<\/p>\n

C\u00f3mo explotan los ciberdelincuentes las vulnerabilidades de ESXi<\/h2>\n

Los atacantes pueden utilizar las vulnerabilidades para generar solicitudes SLP maliciosas y comprometer el almacenamiento de datos. Para cifrar la informaci\u00f3n, primero necesitan, por supuesto, penetrar en la red y afianzarse all\u00ed. Esto no supone un gran problema, sobre todo si la m\u00e1quina virtual no est\u00e1 ejecutando una soluci\u00f3n de seguridad.<\/p>\n

Para atrincherarse en el sistema, los operadores de RansomExx pueden, por ejemplo, usar la vulnerabilidad Zerologon<\/a> (en el Protocolo remoto de Netlogon). Es decir, enga\u00f1an al usuario para que ejecute un c\u00f3digo malicioso en la m\u00e1quina virtual, luego toman el control del controlador del Directorio Activo y solo entonces cifran el almacenamiento, dejando una nota de rescate.<\/p>\n

Por cierto, Zerologon no es la \u00fanica opci\u00f3n, pero s\u00ed una de las m\u00e1s peligrosas debido a que su explotaci\u00f3n es casi imposible de detectar sin servicios especiales<\/a>.<\/p>\n

C\u00f3mo mantenerse protegido de los ataques a MSXI<\/h2>\n