Los investigadores de amenazas de Sophos han identificado una nueva cepa de ransomware de acción inusualmente rápida escrita en el lenguaje de programación Python que se ha dirigido a servidores VMware ESXi y máquinas virtuales (VM), lo que podría representar una amenaza significativa para muchos entornos que los equipos de seguridad pueden ser, por varias razones, menos atento a.
Si bien muchas operaciones delictivas cibernéticas pasan un tiempo considerable moviéndose sin ser detectadas en los sistemas de sus víctimas antes de implementar el ransomware, los operadores de esta variedad en particular están llevando a cabo ataques de “velocidad ultra alta”, “tipo francotirador” que se desarrollan en cuestión de horas. .
“Este es uno de los ataques de ransomware más rápidos que Sophos haya investigado, y pareció apuntar con precisión a la plataforma ESXi”, dijo Andrew Brandt, investigador principal de Sophos, quien investigó uno de esos incidentes durante el cual transcurrieron solo tres horas entre la violación y el cifrado. .
“Python es un lenguaje de codificación que no se usa comúnmente para ransomware. Sin embargo, Python está preinstalado en sistemas basados en Linux como ESXi, y esto hace que los ataques basados en Python sean posibles en dichos sistemas ”, dijo.
“Los servidores ESXi representan un objetivo atractivo para los actores de amenazas de ransomware porque pueden atacar múltiples máquinas virtuales a la vez, donde cada una de las máquinas virtuales podría estar ejecutando aplicaciones o servicios críticos para el negocio. Los ataques a los hipervisores pueden ser rápidos y muy disruptivos. Los operadores de ransomware, incluidos DarkSide y REvil, han apuntado a los servidores ESXi en ataques ”, agregó Brandt.
En el caso investigado, el ataque comenzó a la medianoche y media de un domingo por la mañana, cuando el operador del ransomware obtuvo acceso a una cuenta de TeamViewer en el sistema de un usuario con credenciales y derechos de administrador de dominio.
En 10 minutos, dijo Sophos, el atacante usó la herramienta Advanced IP Scanner para detectar objetivos, concentrándose en un servidor ESXi que, en este caso, probablemente era vulnerable porque tenía una interfaz de programación de shell activa.
Luego instalaron la herramienta de comunicaciones de red segura Bitvise en la máquina del administrador, lo que les dio acceso al sistema ESXi, incluidos los archivos del disco virtual de las máquinas virtuales. A las 3:40 am, el ransomware se había implementado y los archivos se habían cifrado.
Brandt dijo que en este caso particular hubo cierta suerte por parte del atacante, ya que la interfaz de shell en el servidor de destino se había habilitado y deshabilitado varias veces en las semanas previas al ataque por parte del equipo de TI de la víctima. , y probablemente se dejó habilitado por accidente, lo que hace que el ataque sea mucho más fácil de llevar a cabo.
Si bien el ransomware que se ejecuta en sistemas operativos similares a Linux, como el que usa ESXi, es bastante poco común, es más probable que aquellos que se toman el tiempo para desarrollarlo se lleven el premio gordo, ya que los equipos de seguridad a menudo tienen menos probabilidades de proteger dichos sistemas de manera adecuada. .
“Los administradores que operan ESXi u otros hipervisores en sus redes deben seguir las mejores prácticas de seguridad. Esto incluye el uso de contraseñas únicas, difíciles de aplicar por fuerza bruta, y la aplicación del uso de autenticación multifactor siempre que sea posible ”, dijo Brandt.
“El ESXi Shell puede y debe desactivarse siempre que el personal no lo utilice para el mantenimiento de rutina, por ejemplo, durante la instalación de parches. El equipo de TI puede hacer esto mediante el uso de controles en la consola del servidor o mediante las herramientas de administración de software proporcionadas por el proveedor “.
Sophos ofrece más detalles sobre el ransomware involucrado, incluidas algunas tácticas, técnicas y procedimientos (TTP) notables, mientras que la guía de VMware sobre la protección de los hipervisores ESXi se puede encontrar aquí.