NAKIVO > Blog > Multiplatform

Ataques de ransomware ESXiArgs: Riesgos y protección de datos

Actualizado: mayo 6, 2024

Written by: NAKIVO Team

Normalmente, el ransomware ataca a ordenadores físicos y máquinas virtuales que se ejecutan en Windows y, con menor frecuencia, en macOS y Linux. Por desgracia, los ciberdelincuentes siguen desarrollando nuevas versiones de ransomware que pueden infectar otros sistemas operativos a través de vulnerabilidades recién descubiertas. Un ejemplo reciente fue el ataque de ransomware ESXi que afectó a los hipervisores VMware aprovechando las vulnerabilidades de ESXi, lo que provocó graves tiempos de inactividad en organizaciones de todo el mundo.

Esta entrada del blog explica lo peligrosos que son los ataques de ransomware, cómo el ransomware puede infectar un host ESXi y cómo protegerse contra el ransomware, incluido contra el ransomware ESXi Args.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

El inicio de una campaña de ransomware ESXi

Los primeros casos de ataques de ransomware a ESXi se registraron en octubre de 2022, cuando VMware puso fin a la compatibilidad general con ESXi 6.5 y 6.7. Un elevado número de hosts ESXi fueron infectados en Francia, Alemania, Estados Unidos, Canadá, Reino Unido y otros países. En febrero de 2023, había más de 3.000 hosts ESXi infectados con datos cifrados y sin medios para su recuperación. Los nombres de los ransomware que atacaron hosts ESXi son ESXiArgs, Royal y Cl0p. Además, aparecieron nuevas familias de ransomware ESXi, como RansomEXX, Lockbit, BlackBasta, Cheerscrypt, Hive, RedAlert/N13V y otras.

Los hosts ESXi son atractivos para los atacantes porque la virtualización de servidores se ha hecho más popular y muchas organizaciones utilizan máquinas virtuales para sus entornos de producción. Como resultado, los creadores de ransomware se han centrado en iniciar ataques de ransomware VMware ESXi con la esperanza de obtener grandes beneficios. Infectar un host ESXi permite a los atacantes cifrar/destruir los datos de varias máquinas virtuales que residen en ese host. Este enfoque puede ser más eficaz que infectar máquinas virtuales, que pueden estar ejecutando sistemas operativos diferentes. El ataque del ransomware ESXi Args fue uno de los mayores ataques de ransomware para servidores no Windows.

¿Qué versiones de ESXi son vulnerables al ransomware ESXi?

El ransomware ESXi aprovecha diferentes vulnerabilidades, incluidas CVE-2022-31699, CVE-2021-21995, CVE-2021-21974, CVE-2020-3992 y CVE-2019-5544.

El ransomware ESXi Args utiliza CVE-2021-21974 para infectar un host ESXi. Se trata de una vulnerabilidad descubierta en 2021 y puede ocurrir en hosts ESXi que aún no estén parcheados/actualizados. Se trata de una vulnerabilidad de desbordamiento de heap en el servicio OpenSLP que se ejecuta en ESXi. El 21 de febrero de 2021 se publicó un parche para CVE-2021-21974.

Las siguientes versiones de ESXi son vulnerables a CVE-2021-21974:

  • ESXi 7.x anterior a ESXi70U1c-17325551
  • ESXi 6.7.x anterior a ESXi670-202102401-SG
  • ESXi 6.5.x anterior a ESXi650-202102101-SG

¿Por qué había tantos servidores sin parches y por qué eran accesibles desde Internet? La aplicación de parches requiere tiempo de inactividad del servidor ESXi y, con un gran número de hosts, es posible que algunos administradores no dispongan de los recursos o el tiempo necesarios para aplicar los parches a tiempo. Además, las vulnerabilidades de ESXi no se explotaban ampliamente antes del ataque del ransomware ESXi Args. Creaba la ilusión de que los servidores ESXi sin parches no constituían una amenaza, y los servidores se parcheaban lentamente.

Los servidores ESXi que funcionan en empresas proveedoras de alojamiento también fueron infectados por el ransomware ESXi Args. Los proveedores de hosting proporcionaban la infraestructura a los clientes, que instalaban hipervisores ESXi para ejecutar máquinas virtuales. Estos servidores ESXi fueron expuestos a Internet por los clientes, lo que permitió a los atacantes acceder a ellos. Los atacantes querían que la víctima pagara unos 23.000 dólares en bitcoins.

¿Cómo funciona el ransomware ESXi?

Los ciberdelincuentes encuentran hosts ESXi vulnerables, especialmente los que están expuestos a Internet. Se ha verificado que el método de compromiso explota una vulnerabilidad de OpenSLP, que posiblemente sea CVE-2021-21974. El puerto 427 (TCP/UDP) se utiliza para OpenSLP. Los registros indican la participación del usuario dcui en este proceso de compromiso. Esta vulnerabilidad de ESXi ransomware permite a los atacantes explotar código arbitrario de forma remota.

El proceso de cifrado utiliza una clave pública desplegada por el malware, ubicada en /tmp/public.pem. En concreto, este proceso de cifrado está dirigido a archivos de máquinas virtuales, incluidos tipos de archivo como «.vmdk», «.vmx», «.vmxf», «.vmsd», «.vmsn», «.vswp», «.vmss», «.nvram» y archivos con la extensión «.vmem». Tenga en cuenta que el archivo «.vmdk» es un archivo descriptor de disco virtual y «-flat.vmdk» es un archivo de disco virtual que contiene los datos de la VM. El ransomware ESXi Args crea un archivo «.args» para cada archivo cifrado con metadatos (probablemente, los creadores del ransomware suponen que los archivos «.args» pueden ser necesarios para el descifrado).

A continuación se detalla la secuencia:

  1. Cuando un servidor es violado, los siguientes archivos son colocados en el directorio /tmp:
    • encrypt representa el ejecutable cifrado en formato ELF.
    • encrypt.sh sirve como lógica operativa para el ataque. Se trata de un script de shell que lleva a cabo varias acciones antes de ejecutar el encriptador, como se indica a continuación.
    • public.pem es una clave RSA pública empleada para cifrar la clave responsable del cifrado de archivos.
    • motd es una nota de rescate textual que se duplica en /etc/motd, asegurando su visualización al iniciar sesión. El archivo original en el servidor se conservará como /etc/motd1.
    • index. html es una versión HTML de la nota de rescate diseñada para reemplazar la página de inicio de VMware ESXi. El archivo inicial del servidor debe hacerse backup de como«index1.html» dentro del mismo directorio.
  2. El encriptador se inicia a través de un script de shell, que lo invoca con una serie de parámetros de línea de comandos. Estos parámetros abarcan el archivo de clave pública RSA, el archivo de destino para el cifrado, las secciones de datos que deben permanecer inalteradas, el tamaño del bloque de cifrado y el tamaño total del archivo.

    Uso: encrypt <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]

    Dónde:

    • enc_step es el número de MB a saltar mientras se cifran los archivos
    • enc_size es el número de MB del bloque de cifrado
    • file_size es el tamaño del archivo en bytes (para archivos dispersos)
  3. El inicio de este cifrado tiene lugar a través del script de shell encrypt.sh, que sirve como lógica subyacente para el ataque. Al iniciarse, el script procede con las siguientes acciones, explicadas brevemente a continuación.
  4. El script del ransomware ESXi ejecuta un comando para modificar los archivos de configuración de las máquinas virtuales ESXi (.vmx) sustituyendo las apariciones de «.vmdk» y «.vswp» por«1.vmdk» y«1.vswp«, respectivamente.
  5. A continuación, el script del ransomware termina por la fuerza todas las máquinas virtuales activas en ese momento mediante un comando«kill -9» para detener los procesos que contengan la palabra«vmx«.
  6. El ransomware intenta apagar las máquinas virtuales terminando el proceso VMX para liberar los archivos bloqueados y modificarlos. Sin embargo, esta función no funciona siempre como se espera, por lo que algunos archivos permanecen bloqueados. Tras la modificación de los archivos de las máquinas virtuales, éstas quedan inutilizadas.
  7. El script procede a recuperar una lista de volúmenes ESXi con el comando:

    esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F' ' '{print $2}

    Con este comando, el ransomware escanea estos volúmenes en busca de archivos con extensiones de archivo específicas.

  8. Para cada archivo descubierto, el script genera un archivo .args correspondiente en[file_name] dentro del mismo directorio. Este archivo .args contiene parámetros calculados, incluyendo un paso (comúnmente ‘1’) y el tamaño del archivo. Por ejemplo, si el archivo es«VM01.vmx«, se crea un archivo asociado«VM01.vmx.args«. El malware genera un «argsfile» para almacenar los argumentos pasados al binario cifrado, que incluye información como el número de megabytes a omitir, el tamaño del bloque cifrado y el tamaño del archivo.
  9. A continuación, el script emplea el ejecutable«cifrado» para cifrar los archivos en función de los parámetros calculados.
  10. Tras el cifrado, el script sustituye el archivo«index.html» de ESXi y el archivo«motd» del servidor por las mencionadas notas de rescate, como se ha descrito anteriormente.

    No hay pruebas de que se hayan transferido datos al exterior (exfiltración de datos). En algunos casos, el cifrado de los archivos puede tener éxito sólo parcialmente, lo que permite a la víctima recuperar potencialmente algunos de los datos.

    Cuando la infección y la modificación/cifrado de datos se completaban con éxito, aparecía una nota del ransomware como ésta en una página HTML:

    «¡Alerta de seguridad! Hemos hackeado su empresa con éxito.

    Envía el dinero en 3 días, de lo contrario expondremos algunos datos y subiremos el precio«.

  11. Posteriormente, el script lleva a cabo tareas de limpieza, incluyendo la eliminación de registros y la eliminación de una puerta trasera Python ubicada en /store/packages/vmtools.py. También elimina líneas específicas de determinados archivos:
    • /bin/hostd-probe.sh
    • /var/spool/cron/crontabs/root
    • /etc/rc.local.d/local.sh
    • /etc/vmware/rhttpproxy/endpoints.conf

    Se emite una nota crítica, instando a los administradores a comprobar si el archivo«vmtools.py» existe en el host ESXi. Si se encuentra, se aconseja su eliminación inmediata.

  12. Por último, el script ejecuta«/sbin/auto-backup.sh» para actualizar la configuración guardada en el archivo«/bootbank/state.tgz» y activa SSH.

Además, ha salido a la luz que esta vulnerabilidad, junto con otras vulnerabilidades en ESXi, es explotada activamente por grupos de ransomware además de ESXiArgs.

NOTA: El comportamiento del ransomware VMware ESXi puede cambiar con las versiones actualizadas del ransomware y las nuevas versiones del ransomware.

Cómo recuperar datos después del ransomware ESXi Args

No hay fallos en el mecanismo de cifrado que puedan permitirle descifrar los archivos cifrados. Sin embargo, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) creó un script que puede ayudar a recuperar las máquinas virtuales. Lo bueno es que los archivos de la máquina virtual, incluido el descriptor del disco virtual (.vmdk), están cifrados, pero el archivo -flat.vmdk (donde se almacenan los datos de la máquina virtual) no. Esto hace posible la recuperación de la máquina virtual.

CISA ha introducido un script de recuperación diseñado para ayudar a las organizaciones afectadas por el ransomware ESXi Args. Este ransomware se dirige específicamente a servidores ESXi, cifrando sus archivos de configuración y pudiendo dejar inoperativas las máquinas virtuales (VM). Aunque la herramienta se ha desarrollado en colaboración con VMware, no cuenta con su apoyo directo. Si los clientes encuentran algún problema al utilizar esta herramienta, se les anima a notificarlo en GitHub en esta dirección: https://github.com/cisagov/ESXiArgs-Recover/issues.

CISA se compromete a abordar y resolver las preocupaciones con prontitud. Para más detalles sobre el uso del script, consulte este enlace.

También puede descargar un documento PDF con instrucciones.

Si tiene indicios de que un host ESXi ha sido infectado por el ransomware ESXi, tenga en cuenta las siguientes medidas:

  • Desconecte de la red el host ESXi infectado.
  • No pagues el rescate. Pagar el rescate recompensa a los ciberdelincuentes y les incentiva a crear más ransomware para conseguir más dinero. Si paga el rescate, no hay garantía de que se recuperen los archivos dañados por el ransomware VMware ESXi.
  • Informa del ataque de ransomware. Informar sobre el ransomware es importante porque permite una respuesta rápida, el cumplimiento de la legislación, la protección de datos, la confianza, la mitigación de amenazas y la defensa colectiva contra los ciberataques. Notificar un ataque de ransomware es una parte fundamental de la gestión de incidentes de ciberseguridad. No sólo ayuda a las organizaciones individuales a recuperarse de los ataques, sino que también contribuye a la seguridad y resiliencia generales del ecosistema digital.
  • Compruebe si hay herramientas de recuperación o descifrado disponibles para la versión actual del ransomware.
  • Si no existen herramientas de descifrado, recupere los datos de una copia de seguridad (para utilizar este método debe tener una copia de seguridad creada antes de un ataque de ransomware). A veces puede ser más efectivo recuperar VMs desde un backup. Considere la posibilidad de realizar una instalación nueva de ESXi y copiar las máquinas virtuales recuperadas en ese host ESXi nuevo para asegurarse de que no hay ningún fragmento de infección de ransomware en el host en el que se encuentran las máquinas virtuales recuperadas.

Cómo proteger ESXi del ransomware

Siga las siguientes recomendaciones para proteger ESXi del ransomware:

  • Parchee los hosts ESXi que presenten vulnerabilidades como CVE-2021-21974, CVE-2022-31699, CVE-2021-21995, CVE-2020-3992 y CVE-2019-5544. Si su versión de ESXi ya no es compatible, considere la posibilidad de actualizar a una versión mayor que sí lo sea. Si no puede actualizar ESXi, desactive el servicio OpenSLP (Service Location Protocol) en ESXi. Deshabilitar un servicio que tenga una vulnerabilidad para la versión de ESXi afectada también ayuda.
  • Instale parches de seguridad (actualizaciones) en el host ESXi con regularidad para protegerse de las amenazas más recientes.
  • No exponga los hosts ESXi a Internet. Si el proceso de trabajo requiere que los hosts ESXi sean accesibles desde Internet por los trabajadores y socios, configure un servidor VPN y un cortafuegos. Configure el cortafuegos para permitir el acceso sólo desde direcciones IP de confianza. La conexión a la red a través de VPN para acceder a los hosts ESXi es segura en este caso.
  • Desactive el acceso SSH si no lo necesita o establezca tiempos de espera.
  • Desactive SMB v1.0 y otras versiones antiguas de protocolos, especialmente si no se utilizan.
  • Utilice la segmentación de red para las redes, incluida la red de gestión de ESXi.
  • Utilice contraseñas seguras con al menos 8 caracteres, incluyendo minúsculas, mayúsculas, dígitos y caracteres especiales.
  • Instale y configure la supervisión de la infraestructura para controlar el tráfico de red y las cargas de los servidores. La supervisión permite detectar a tiempo actividades sospechosas o maliciosas.
  • Educar a los usuarios sobre la protección contra el ransomware y asegurarse de que sepan qué hacer si sospechan que se ha producido un ataque o intento de ataque de ransomware.
  • Configure la protección contra el ransomware por correo electrónico, ya que el envío de enlaces o archivos maliciosos por correo electrónico es un método muy utilizado para infectar ordenadores con ransomware. Desactiva los hipervínculos activos en los mensajes de correo electrónico.
  • Instalar antivirus en los ordenadores y servidores de los usuarios. Actualice periódicamente las bases de datos de los programas antivirus.
  • Haz backups de tus máquinas virtuales con regularidad y utiliza la estrategia 3-2-1 de backups. No olvides hacer backups inmutables o aislados de la red para asegurarte de que esta copia de seguridad no se vea afectada en caso de ataque de ransomware. Tener un backup de ESXi y un backup de vCenter puede ayudar a ahorrar tiempo a la hora de recuperar datos y cargas de trabajo.
  • Prepare un plan de respuesta a incidentes e informe a todo el mundo de lo que debe hacer en caso de ataque de ransomware ESXi.
  • Cree un plan de recuperación ante desastres para asegurarse de que puede recuperar datos y restaurar cargas de trabajo en diferentes escenarios. Es importante hacer backups y pruebas de recuperación ante desastres.

Conclusión

El ransomware ESXi puede ser devastador porque puede perder muchas máquinas virtuales incluso si se infecta un host ESXi. Hacer backups de datos es la estrategia más eficaz para evitar la pérdida de datos en caso de ataques de ransomware. Siga las recomendaciones sobre cómo proteger ESXi del ransomware que se trataron anteriormente en esta entrada del blog. Utilice NAKIVO Backup & Replication para hacer backups de máquinas virtuales residentes en hosts VMware ESXi en repositorios inmutables. De este modo, puede utilizar estos backups resistentes al ransomware para recuperaciones rápidas de máquinas virtuales completas o datos de aplicaciones.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Artículos recomendados

Picture
Cómo utilizar SharePoint Online para la gestión de datos: Una Guía Completa
Picture
Guía sobre cómo importar contactos a Outlook 365
Picture
8 Prácticas probadas para protegerse contra el ransomware