Ransomware dirigido contra hipervisores ESXi aprovecha los túneles SSH para permanecer en el sistema sin ser detectado.
Los dispositivos VMware ESXi desempeñan un papel fundamental en los entornos virtualizados, ya que pueden ejecutar en un único servidor físico varias máquinas virtuales de una organización.
En gran medida estos servidores muchas veces no están supervisados y han sido un objetivo varias veces para los ciberdelincuentes que buscan acceder a redes corporativas donde pueden robar datos y cifrar archivos, paralizando así toda una empresa al dejar inaccesibles todas sus máquinas virtuales.
La empresa de ciberseguridad Sygnia afirma que, en muchos casos, el ataque se consigue aprovechando fallos conocidos o utilizando credenciales de administrador comprometidas.
SSH en el hipervisor
ESXi cuenta con un servicio SSH integrado que permite a los administradores gestionar de forma remota el hipervisor a través de un intérprete de comandos.
Sygnia señala que los autores de ransomware abusan de esta función para establecer la persistencia, moverse lateralmente y desplegar cargas útiles de ransomware. Dado que muchas organizaciones no supervisan activamente la actividad de ESXi SSH, los atacantes pueden utilizarla de forma sigilosa.
«Una vez que[los atacantes están en el dispositivo, establecer el túnel es una tarea sencilla utilizando la funcionalidad SSH nativa o desplegando otras herramientas comunes con capacidades similares», explica Sygnia.
«Por ejemplo, utilizando el binario SSH, se puede configurar fácilmente un reenvío de puerto remoto al servidor C2 mediante el siguiente comando: ssh -fN -R 127.0.0.1: @».
«Dado que las appliances ESXi son resistentes y rara vez se apagan inesperadamente, este tunneling sirve como una puerta trasera semi-persistente dentro de la red».
Lagunas en el registro
Sygnia también destaca los retos que plantea la supervisión de los registros de ESXi, que provocan importantes lagunas de visibilidad que los actores del ransomware han sabido aprovechar.
A diferencia de la mayoría de los sistemas en los que los registros se consolidan en un único archivo syslog, ESXi distribuye los registros en múltiples archivos de registro dedicados, por lo que encontrar pruebas requiere reunir información de múltiples fuentes.
La empresa de seguridad sugiere que los administradores de sistemas examinen estos cuatro archivos de registro para detectar túneles SSH y actividad de ransomware:
- /var/log/shell.log → Registra la ejecución de comandos en ESXi Shell.
- /var/log/hostd.log → Registra las actividades administrativas y la autenticación de usuarios
- /var/log/auth.log → Captura los intentos de inicio de sesión y los eventos de autenticación
- /var/log/vobd.log → Almacena registros de eventos del sistema y de seguridad
Es probable que hostd.log y vodb.log también contengan rastros de la modificación de las reglas del cortafuegos, que es esencial para permitir el acceso SSH persistente.
Cabe señalar que los autores de ransomware a menudo borran los registros para eliminar pruebas de acceso SSH, modifican las marcas de tiempo o truncan los registros para confundir a los investigadores, por lo que encontrar pruebas no siempre es sencillo.
En última instancia, se recomienda que las organizaciones centralicen los registros de ESXi mediante el reenvío de syslog e integren los registros en un sistema de gestión de eventos e información de seguridad (SIEM) para detectar anomalías.