Protegerse de los ataques de ransomware a ESXi: cuando las máquinas virtuales están en peligro
La extorsión es una cuestión de influencia. Cuanto mayor sea la influencia, mayor será la propensión de la víctima a abrir sus arcas y pagar el rescate. Al principio, los ataques de ransomware se centraban en bloquear el acceso a los datos críticos de una organización mediante el cifrado. Este modelo sencillo pero eficaz tenía un punto débil importante: un sistema de copia de seguridad robusto podía restaurar los archivos cifrados. Esto llevó a los atacantes a cambiar su táctica, atacando primero los sistemas de copia de seguridad, empujando a las empresas a adoptar nuevas prácticas recomendadas para proteger sus copias de seguridad.
Las tácticas del ransomware evolucionan
Y así es como se desarrolla este interminable juego, en el que atacantes y defensores se disputan el liderazgo. Las organizaciones de ransomware pronto perfeccionaron sus tácticas exfiltrando los datos antes de cifrarlos, utilizando la amenaza de hacerlos públicos como método secundario de extorsión si las víctimas conseguían restaurar sus datos.
Recientemente, los atacantes que se dedican al ransomware han descubierto otro método para aumentar su influencia. Su objetivo son los entornos de servidores virtuales. Pensemos en la dependencia que tienen las empresas de las máquinas virtuales para alojar componentes críticos como controladores de dominio, DNS, almacenamiento de archivos y aplicaciones. Al comprometer el entorno virtual, los atacantes pueden paralizar tanto los sistemas como los datos que contienen en un solo movimiento, intensificando aún más la presión sobre las organizaciones afectadas para que accedan a sus demandas.
Comprender la vulnerabilidad de los entornos VMware
Si su organización es como la mayoría hoy en día, lo más probable es que la mayor parte de sus servidores sean virtuales. Además, lo más seguro es que esas máquinas se ejecuten en una plataforma VMware, ya que más del 80% de las cargas de trabajo virtualizadas se ejecutan en plataformas VMware, según el gigante de los hipervisores virtuales. Esto significa que, los atacantes que recurren al ransomware, irán por sus sistemas VMware para cifrar su almacenamiento de datos. Si usted tiene un entorno VMware, su objetivo será eliminar su servidor vCenter, así como los servidores ESXi que lo acompañan. Si su entorno de máquinas virtuales está fuera de servicio, es probable que su servidor de copia de seguridad también lo esté.
La recuperación de VMware es compleja
¿Sabe cuáles son las contraseñas de administrador de sus servidores ESX? Lo sabrá si su vCenter ya no es accesible, razón por la cual las organizaciones dedicadas al ransomware lo tienen como objetivo. ¿Tiene documentados todos los ajustes de IP y otros ajustes de VMware? ¿Tiene a alguien en plantilla con los conocimientos necesarios para restaurar su entorno VMware desde cero si fuera necesario? Muchas empresas recurren a personal externo con experiencia en VMware. La recuperación de un entorno VMware implica más complejidad que la simple restauración del almacenamiento de archivos a partir de copias de seguridad. Esta complejidad puede prolongar significativamente el plazo de recuperación y aumentar los costos asociados.
Abordar las vulnerabilidades de VMware
En febrero de 2023, el FBI emitió un aviso en el que informaba de que aproximadamente 3.800 servidores host de VMware de todo el mundo se habían visto comprometidos. La pregunta que surge entonces es: ¿cómo consiguieron los ciberdelincuentes infiltrarse en todos esos servidores? La respuesta está en una táctica común utilizada en servidores, ordenadores, sistemas operativos y dispositivos IoT. Los delincuentes se aprovecharon de vulnerabilidades conocidas, razón por la cual es tan importante priorizar los parches de seguridad. Una parte significativa de estos ataques tenía como objetivo dos vulnerabilidades: CVE-2021-21974 y CVE-2020-3992. Ambas permiten la ejecución remota de código, pero CVE-2020-3992 es especialmente crítica, ya que permite a los atacantes hacerse con el control total del servidor.
Grupos de ransomware de renombre están buscando activamente hosts VMware ESXi vulnerables a estos exploits, mientras que algunas variantes de ransomware están siendo desarrolladas específicamente para entornos VMware. Un ejemplo de ello es una variante de Ransomware como Servicio (RaaS) llamada Nevada, que funciona mediante un modelo de comisiones que se distribuyen entre los afiliados. Esto subraya el hecho de que el ransomware es una industria lucrativa en los rincones más oscuros de Internet.
Cómo proteger su infraestructura VMware
Dado que su entorno virtual es tan vulnerable a los ataques activos de ransomware, es imprescindible contar con una estrategia para protegerlo contra este tipo de ataques. Como explica Eden Naggel, jefe del equipo DFIR de CYREBRO: “Las organizaciones con servicios de virtualización on-prem, como VMware ESXi, deben asegurarse de que el acceso a la consola esté aislado de la red, permitiendo el acceso sólo desde hosts específicos. Esto se hace para evitar que los atacantes accedan fácilmente al entorno de virtualización, lo que podría dar lugar al cifrado completo de los discos de los servidores, sin necesidad de introducir un software directamente en ellos.
Y, por supuesto, no puedo dejar de insistir en lo importante que es asegurarse de que el firmware esté actualizado y cuente con el respaldo de contraseñas complejas que se renueven a menudo.”
A continuación, se detallan algunas de las medidas recomendadas:
- Actualizaciones y parches
A pesar de su sencillez, los parches y las actualizaciones siguen descuidándose en los sistemas informáticos. Parchear periódicamente las vulnerabilidades conocidas reduce drásticamente el riesgo de que los atacantes se aprovechen de ellas, ya que los ciberdelincuentes suelen atacar los sistemas con puntos débiles sin parchear, buscando el camino de menor resistencia. Las actualizaciones constantes no sólo cierran las brechas de seguridad, sino que además refuerzan el sistema con las últimas funciones y mejoras. La gestión proactiva de parches es esencial para proteger su entorno VMware contra los métodos en continua evolución de los atacantes de ransomware. Por supuesto, la priorización de parches debe practicarse siempre.
- Restringir el acceso a Internet
Aunque los ataques internos son una amenaza viable, la mayor parte de los ataques de ransomware se llevan a cabo desde el exterior. Un sistema que es accesible a través de Internet, es accesible a los actores de amenazas externos. A menos que haya una razón de peso para lo contrario, sus servidores virtuales deben tener un acceso limitado a Internet que sólo esté disponible para los administradores del servidor y sólo para tareas específicas como la actualización y la aplicación de parches. Para las máquinas virtuales que alojan aplicaciones web u otros recursos necesarios para los usuarios de Internet, es crucial aplicar el principio del menor privilegio para garantizar una protección sólida. Este enfoque de acceso selectivo minimiza los posibles puntos de entrada de los ciberatacantes.
- Utilizar cuentas locales, contraseñas seguras y MFA
El uso de cuentas de dominio de Active Directory (AD) para la gestión de los servidores host VMware, aunque es conveniente, plantea importantes riesgos, ya que estas cuentas son ampliamente utilizadas y son más propensas a verse comprometidas. Las mejores prácticas de seguridad requieren el uso de cuentas locales de VMware, que deben estar protegidas por contraseñas de 12 caracteres o más y seguir estrictos requisitos de complejidad. Por supuesto, nunca se debe confiar únicamente en las contraseñas. Puede aumentar la protección de las contraseñas con la autenticación multifactor (MFA), añadiendo una capa de seguridad adicional para protegerse contra los accesos no autorizados.
- Monitoreo 24/7
Las redes modernas son complejas y extensas, además de tener numerosos rincones ocultos en los que las amenazas y el malware pueden ocultarse sin ser detectados. Para combatir el ransomware, es fundamental tener visibilidad de todos los elementos de la red de su empresa, por lo que monitoreo ininterrumpido de la red es una estrategia crucial. Esto implica escanear continuamente la red en busca de actividades sospechosas, como movimientos inusuales de datos, posibles puertas traseras o intentos repetidos de inicio de sesión, que pueden indicar un ataque de ransomware en curso. Dado que el costo de la recuperación del ransomware es tan elevado, la detección precoz es clave. El monitoreo continuo también ayuda a reconocer patrones que podrían indicar un ataque inminente, permitiendo tomar medidas preventivas. Además, garantiza que los parches de seguridad y las actualizaciones se apliquen rápidamente, cerrando las vulnerabilidades que el ransomware pudiera aprovechar. Esta vigilancia proactiva crea una defensa sólida contra las tácticas siempre cambiantes de los atacantes de ransomware. Recuerde que incluso las herramientas de seguridad más avanzadas sólo son tan eficaces como el sistema de vigilancia que le avisa de lo que ocurre en su red.
Conclusión
Las empresas dan prioridad a la productividad, y con razón. Pero mantener esta productividad entre numerosas amenazas para el funcionamiento de la red requiere una sólida estrategia de ciberseguridad. Esto es especialmente importante en los entornos de servidores virtuales. Independientemente de la pila tecnológica utilizada, es inevitable que existan vulnerabilidades y que se necesiten prácticas de seguridad rigurosas para protegerse. Entre estas prácticas, la vigilancia destaca como un componente crítico. Es el medio más eficaz de obtener información en tiempo real sobre las actividades dentro de su entorno tecnológico, garantizando que las amenazas se identifiquen y aborden con prontitud para salvaguardar la continuidad operativa.