Ataques de ransomware ESXiArgs: riesgos y protección de datos

Tutoriales

Normalmente, los ataques de ransomware afectan a computadoras físicas y máquinas virtuales que funcionan con Windows y, con menos frecuencia, con macOS y Linux. Desafortunadamente, los ciberdelincuentes continúan desarrollando nuevas versiones de ransomware que pueden infectar otros sistemas operativos a través de vulnerabilidades recién descubiertas. Un ejemplo reciente fue el ataque de ransomware ESXi que afectó a los hipervisores VMware explotando vulnerabilidades de ESXi, provocando largos períodos de inactividad en organizaciones de todo el mundo.

Esta publicación de blog explica qué tan peligrosos son los ataques de ransomware, cómo el ransomware puede infectar un host ESXi y cómo protegerse contra el ransomware, incluso contra el ransomware ESXi Args.

El inicio de una campaña de ransomware ESXi

Los primeros casos de ataques de ransomware ESXi se registraron en octubre de 2022, cuando VMware finalizó el soporte general para ESXi 6.5 y 6.7. Un número elevado de hosts ESXi se infectaron en Francia, Alemania, Estados Unidos, Canadá, Reino Unido y otros países. En febrero de 2023, había más de 3,000 hosts ESXi infectados con datos encriptados y sin medios de recuperación. Los nombres de ransomware que atacaron los hosts ESXi son ESXiArgs, Royal y Cl0p. Además, aparecieron nuevas familias de ransomware ESXi como RansomEXX, Lockbit, BlackBasta, Cheerscrypt, Hive, RedAlert/N13V y otros.

Los hosts de ESXi son atractivos para los atacantes porque la virtualización de servidores se ha vuelto más popular, y muchas organizaciones utilizan máquinas virtuales para sus entornos de producción. Como resultado, los creadores de ransomware se han centrado en iniciar ataques de ransomware de VMware ESXi con la esperanza de obtener grandes beneficios. Infectar un host de ESXi permite a los atacantes cifrar/destruir datos de múltiples máquinas virtuales que residen en ese host. Este enfoque puede ser más efectivo que infectar VMs, que pueden estar ejecutando diferentes sistemas operativos. El ataque de ransomware ESXi Args fue uno de los mayores ataques de ransomware para servidores que no son de Windows.

¿Qué versiones de ESXi son vulnerables al ransomware de ESXi?

El ransomware de ESXi explota diferentes vulnerabilidades, incluyendo CVE-2022-31699, CVE-2021-21995, CVE-2021-21974, CVE-2020-3992 y CVE-2019-5544.

El ransomware de ESXi Args utiliza CVE-2021-21974 para infectar un host de ESXi. Esta es una vulnerabilidad descubierta en 2021 y puede ocurrir en hosts de ESXi que aún no han sido parcheados/actualizados. Se trata de una vulnerabilidad de desbordamiento de montón en el servicio OpenSLP que se ejecuta en ESXi. Se publicó un parche para CVE-2021-21974 el 21 de febrero de 2021.

Las siguientes versiones de ESXi son vulnerables a CVE-2021-21974:

  • ESXi 7.x antes de ESXi70U1c-17325551
  • ESXi 6.7.x antes de ESXi670-202102401-SG
  • ESXi 6.5.x antes de ESXi650-202102101-SG

¿Por qué había tantos servidores sin parches y por qué eran accesibles desde Internet? La aplicación de parches requiere tiempo de inactividad del servidor ESXi y, con una gran cantidad de hosts, es posible que algunos administradores no tengan los recursos o el tiempo para aplicarlos a tiempo. Además, las vulnerabilidades de ESXi no se explotaban ampliamente antes del ataque del ransomware ESXi Args. Esto creó la ilusión de que los servidores ESXi sin parches no eran una amenaza y los servidores se parchearon lentamente.

Los servidores ESXi que se ejecutan en empresas proveedoras de alojamiento también se vieron infectados por el ransomware ESXi Args. Los proveedores de alojamiento suministraron la infraestructura para los clientes y los clientes instalaron hipervisores ESXi para ejecutar máquinas virtuales. Los clientes expusieron estos servidores ESXi a Internet, lo que permitió a los atacantes acceder a ellos. Los atacantes querían que la víctima pagara unos 23.000 dólares en bitcoins.

¿Cómo funciona el ransomware ESXi?

Los ciberdelincuentes encuentran hosts ESXi vulnerables, especialmente aquellos expuestos a Internet. Se ha verificado que el método de compromiso explota una vulnerabilidad de OpenSLP, que posiblemente sea CVE-2021-21974. El puerto 427 (TCP/UDP) se utiliza para OpenSLP. Los registros indican la participación del dcui usuario en este proceso de compromiso. Esta vulnerabilidad del ransomware ESXi permite a los atacantes explotar código arbitrario de forma remota.

El proceso de cifrado utiliza una clave pública desplegada por el malware, ubicada en /tmp/public.pem. Específicamente, este proceso de cifrado está dirigido a archivos de máquinas virtuales, incluidos tipos de archivo como “.vmdk”, “.vmx”, “.vmxf”, “.vmsd”, “.vmsn”, “.vswp”, “.vmss”, “.nvram” y archivos con la extensión “.vmem”. Tenga en cuenta que el archivo “.vmdk” es un archivo de descriptor de disco virtual y “-flat.vmdk” es un archivo de disco virtual que contiene datos de VM. El ransomware ESXi Args crea un archivo “.args” para cada archivo cifrado con metadatos (probablemente, los creadores de ransomware presumen que los archivos “.args” pueden ser necesarios para el descifrado).

A continuación se muestra la secuencia en detalle:

  1. Cuando se compromete un servidor, se colocan los siguientes archivos en el directorio /tmp:
    • encrypt representa el encriptador ejecutable en formato ELF.
    • encrypt.sh sirve como la lógica operativa para el ataque. Este es un script de shell que lleva a cabo varias acciones antes de ejecutar el encriptador, como se describe a continuación.
    • public.pem es una clave RSA pública empleada para encriptar la clave responsable del cifrado de archivos.
    • motd es una nota de rescate textual que se duplica en /etc/motd, asegurando su visualización al iniciar sesión. El archivo original en el servidor se conservará como /etc/motd1.
    • index.html es una versión HTML de la nota de rescate diseñada para reemplazar la página de inicio de VMware ESXi. El archivo inicial del servidor debe ser respaldado como “index1.html” dentro del mismo directorio.
  2. El encriptador se inicia a través de un script de shell, que lo invoca con una serie de parámetros de línea de comandos. Estos parámetros incluyen el archivo de clave pública RSA, el archivo objetivo para encriptar, secciones de datos que deben permanecer sin cambios, tamaño de bloque de encriptación y el tamaño total del archivo.

    Uso: encriptar <clave_pública> <archivo_a_encriptar> [<paso_encriptación>] [<tamaño_bloque_encriptación>] [<tamaño_archivo>]

    Donde:

    • paso_encriptación es el número de MB que se omiten al encriptar archivos
    • tamaño_bloque_encriptación es el número de MB en el bloque de encriptación
    • tamaño_archivo es el tamaño del archivo en bytes (para archivos dispersos)
  3. La iniciación de este encriptador se lleva a cabo a través del script de shell encrypt.sh, que sirve como la lógica subyacente para el ataque. Al iniciarse, el script procede con las siguientes acciones, explicadas brevemente a continuación.
  4. El script de ransomware de ESXi ejecuta un comando para modificar los archivos de configuración de las máquinas virtuales de ESXi (.vmx) reemplazando las ocurrencias de “.vmdk” y “.vswp” con “1.vmdk” y “1.vswp“, respectivamente.
  5. Posteriormente, el script de ransomware termina de manera forzada todas las máquinas virtuales activas actualmente emitiendo un comando “kill -9” para detener los procesos que contienen la palabra “vmx“.
  6. El ransomware intenta apagar las máquinas virtuales al terminar el proceso VMX para liberar los archivos bloqueados y modificarlos. Sin embargo, esta función no se ejecuta consistentemente como se espera, lo que resulta en que algunos archivos permanezcan bloqueados. Después de la modificación de los archivos VM, las VM se vuelven inutilizables.
  7. El script procede a recuperar una lista de volúmenes de ESXi con el comando:

    esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F' ' '{print $2}

    Con este comando, el ransomware escanea estos volúmenes en busca de archivos con extensiones de archivo específicas.

  8. Para cada archivo descubierto, el script genera un archivo correspondiente [nombre_archivo].args dentro del mismo directorio. Este archivo .args contiene parámetros calculados, incluyendo un paso (comúnmente ‘1’) y el tamaño del archivo. Por ejemplo, si el archivo es ” VM01.vmx “, se crea un archivo asociado ” VM01.vmx.args “. El malware genera un “argsfile” para almacenar los argumentos pasados al binario cifrado, que incluye información como el número de megabytes a omitir, el tamaño del bloque de cifrado y el tamaño del archivo.
  9. El script luego utiliza el ejecutable ” encrypt ” para cifrar los archivos en función de los parámetros calculados.
  10. Después de la encriptación, el script reemplaza el archivo ” index.html ” de ESXi y el archivo ” motd ” del servidor con las notas de rescate mencionadas anteriormente.

    No hay evidencia de transferencia de datos externa (fuga de datos). En ciertas instancias, la encriptación de archivos puede tener éxito solo parcialmente, lo que permite al afectado potencialmente recuperar algunos de los datos.

    Cuando la infección y la modificación/cifrado de datos se completaron con éxito, se mostraba una nota de ransomware como esta en una página HTML:

    ¡Alerta de seguridad! Hemos hackeado con éxito su empresa.

    Envíe dinero en 3 días, de lo contrario expondremos algunos datos y aumentaremos el precio.”

  11. A continuación, el script realiza tareas de limpieza, incluida la eliminación de registros y la eliminación de un backdoor de Python ubicado en /store/packages/vmtools.py. También elimina líneas específicas de ciertos archivos:
    • /bin/hostd-probe.sh
    • /var/spool/cron/crontabs/root
    • /etc/rc.local.d/local.sh
    • /etc/vmware/rhttpproxy/endpoints.conf

    Se emite una nota crítica, instando a los administradores a verificar si el archivo “vmtools.py” existe en el host ESXi. Si se encuentra, se recomienda su eliminación inmediata.

  12. Por último, el script ejecuta “/sbin/auto-backup.sh” para actualizar la configuración guardada en el archivo “/bootbank/state.tgz” y activa SSH.

También se ha descubierto que esta vulnerabilidad, junto con otras vulnerabilidades en ESXi, es explotada activamente por grupos de ransomware además de ESXiArgs.

NOTA: El comportamiento del ransomware VMware ESXi puede cambiar con versiones actualizadas del ransomware y nuevos lanzamientos de ransomware.

Cómo Recuperar Datos después de ESXi Args Ransomware

No hay errores en el mecanismo de criptografía que puedan permitirte descifrar los archivos encriptados. Sin embargo, la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) creó un script que puede ayudar a recuperar las MV. Lo bueno es que los archivos de MV, incluido el descriptor de disco virtual (.vmdk), están encriptados, pero el archivo -flat.vmdk (donde se almacenan los datos de MV) no lo está. Esto hace posible la recuperación de la MV.

La CISA ha introducido un script de recuperación diseñado para ayudar a las organizaciones afectadas por el ransomware ESXi Args. Este ransomware específicamente ataca a los servidores ESXi, encriptando sus archivos de configuración y potencialmente dejando inoperativas las máquinas virtuales (MV). Aunque la herramienta fue desarrollada en colaboración con VMware, no es respaldada directamente por VMware. Si los clientes encuentran algún problema al usar esta herramienta, se les anima a informar los problemas en GitHub en esta dirección: https://github.com/cisagov/ESXiArgs-Recover/issues.

La CISA se compromete a abordar y resolver los problemas rápidamente. Para más detalles sobre cómo usar el script, por favor refiérase a este enlace.También puedes descargar un documento PDF con instrucciones.

También puedes descargar un documento en PDF con instrucciones.

Si notas signos de que un host ESXi ha sido infectado con ransomware ESXi, considera las siguientes medidas:

  • Desconecta el host ESXi infectado de la red.
  • No pagues el rescate. Pagar el rescate premia a los cibercriminales e incentiva a crear más ransomware para obtener más dinero. Si pagas el rescate, no hay garantía de que los archivos corrompidos con ransomware VMware ESXi se recuperen.
  • Reporta el ataque de ransomware. Reportar ransomware es importante porque permite una respuesta rápida, cumplimiento legal, protección de datos, confianza, mitigación de amenazas y defensa colectiva contra ciberataques. Reportar un ataque de ransomware es una parte fundamental de la gestión de incidentes de ciberseguridad. No solo ayuda a las organizaciones individuales a recuperarse de los ataques, sino que también contribuye a la seguridad y resiliencia general del ecosistema digital.
  • Verifica si hay herramientas de recuperación o descifrado disponibles para la versión actual de ransomware.
  • Si no hay herramientas de descifrado, restaurar datos desde una copia de seguridad (debes tener una copia de seguridad creada antes de un ataque de ransomware para usar este método). A veces puede ser más efectivo recuperar máquinas virtuales (VM) desde una copia de seguridad. Considera una instalación limpia de ESXi y copiar las VM recuperadas a ese host ESXi recién instalado para asegurarse de que no haya trozos de infección de ransomware en el host donde se colocan las VM recuperadas.

Cómo proteger a ESXi de ransomware

Sigue las recomendaciones a continuación para proteger a ESXi de ransomware:

  • Actualiza tus hosts ESXi que tienen vulnerabilidades como CVE-2021-21974, CVE-2022-31699, CVE-2021-21995, CVE-2020-3992 y CVE-2019-5544. Si la versión de tu ESXi ya no es soportada, considera actualizar a una versión mayor que sí lo esté. Si no puedes actualizar ESXi, deshabilita el OpenSLP (Service Location Protocol) en ESXi. Deshabilitar un servicio que tiene una vulnerabilidad para la versión afectada de ESXi también ayuda.
  • Instala parches de seguridad (actualizaciones) en el host ESXi regularmente para protegerse contra las últimas amenazas.
  • No expongas los hosts ESXi a Internet. Si el proceso de trabajo requiere que los hosts ESXi sean accesibles desde Internet por parte de trabajadores y socios, configura un servidor VPN y un firewall. Configura el firewall para permitir el acceso solo desde direcciones IP de confianza. Conectar a la red a través de VPN para acceder a los hosts ESXi es seguro en este caso.
  • Deshabilita el acceso SSH si no se necesita o establece tiempos de espera.
  • Deshabilita SMB v1.0 y otras versiones antiguas de protocolos, especialmente si no se utilizan.
  • Utiliza segmentación de red para redes, incluyendo la red de gestión ESXi.
  • Usa contraseñas fuertes con al menos 8 caracteres, incluyendo minúsculas, mayúsculas, dígitos y caracteres especiales.
  • Instala y configura monitoreo de infraestructura para supervisar el tráfico de red y las cargas de servidor. El monitoreo te permite detectar actividades sospechosas o maliciosas a tiempo.
  • Educa a los usuarios sobre protección contra ransomware y asegúrate de que los usuarios sepan qué hacer si sospechan que ha ocurrido un ataque de ransomware o se ha intentado realizar uno.
  • Configura protección de correo electrónico contra malware porque enviar enlaces o archivos maliciosos por correo electrónico es un método popular para infectar computadoras con ransomware. Desactiva los enlaces activos en los mensajes de correo electrónico.
  • Instalar antivirus en las computadoras de los usuarios y servidores. Actualizar regularmente las bases de datos de antivirus para el software antivirus.
  • Realizar copias de seguridad de sus máquinas virtuales de manera regular y utilizar la estrategia de respaldo 3-2-1. No olvide tener un respaldo inmutable o respaldo aislado para garantizar que este respaldo no se vea afectado en caso de un ataque de ransomware. Tener un respaldo de ESXi y respaldo de vCenter puede ayudar a ahorrar tiempo cuando se trata de recuperar datos y cargas de trabajo.
  • Preparar un plan de respuesta a incidentes y hacer que todos sepan qué hacer en caso de un ataque de ransomware en ESXi.
  • Crear un plan de recuperación ante desastres para garantizar que pueda recuperar datos y restaurar cargas de trabajo en diferentes escenarios. Las pruebas de respaldo y pruebas de recuperación ante desastres son importantes.

Conclusión

El ransomware ESXi puede ser devastador porque puedes perder muchas máquinas virtuales incluso si un solo host ESXi se infecta. La copia de seguridad de datos es la estrategia más efectiva para evitar la pérdida de datos en caso de ataques de ransomware. Sigue las recomendaciones sobre cómo proteger el ESXi de los ataques de ransomware que se mencionaron anteriormente en esta entrada de blog. Utiliza NAKIVO Backup & Replication para respaldar las máquinas virtuales que residen en hosts VMware ESXi en repositorios inmutables. De esta manera, puedes utilizar estas copias de seguridad resistentes al ransomware para realizar recuperaciones rápidas de máquinas virtuales completas o datos de aplicaciones.

Source:
https://www.nakivo.com/blog/vmware-esxi-ransomware/