Ataques de ultra alta velocidad en servidores ESXi y máquinas virtuales VMware. Los investigadores de Sophos descubren un nuevo ransomware de Python. El informe titulado "Python Ransomware Script Targets ESXi Server for Encryption" proporciona una visión más profunda.
Sophos ha publicado detalles de un nuevo ransomware basado en Python que los ciberdelincuentes están utilizando para atacar y cifrar máquinas virtuales que se ejecutan en hipervisores ESXi. En el informe titulado "Python Ransomware Script Targets ESXi Server for Encryption", los expertos de Sophos Labs describen un ataque de alta velocidad que tomó menos de tres horas desde la intrusión hasta el cifrado.
Plataformas ESXi a las que apunta VMware
"Este es uno de los ataques de ransomware más rápidos que Sophos haya investigado y parece estar dirigido a la plataforma ESXi", dijo Andrew Brandt, investigador principal de Sophos. “Python es un lenguaje de programación que no se usa comúnmente para ransomware. Sin embargo, Python está preinstalado en sistemas basados en Linux, como ESXi, por lo que es posible que se produzcan ataques basados en Python en dichos sistemas. Los servidores ESXi de VMware son un objetivo atractivo para los delincuentes de ransomware debido a su capacidad para atacar simultáneamente varias máquinas virtuales que ejecutan aplicaciones o servicios potencialmente críticos. Los ataques a los hipervisores pueden ser rápidos y extremadamente devastadores. Los grupos de ransomware como DarkSide y REvil apuntan a los servidores ESXi en sus ataques”.
Curso del ataque investigado
La investigación reveló que el ataque comenzó a las 0:30 a. m. de un domingo, cuando se secuestró una cuenta de TeamViewer que se ejecutaba en una computadora que también tenía credenciales para el administrador del dominio.
El script de Python contiene el texto con la clásica nota de rescate del ransomware.
Solo 10 minutos después, los atacantes utilizan la herramienta Advanced IP Scanner para buscar objetivos en la red. SophosLabs cree que el servidor ESXi era vulnerable en la red porque tenía un shell activo, una interfaz de programación que los equipos de TI usan para comandos y actualizaciones. Esto permitió a los ciberdelincuentes instalar una herramienta de comunicación de red segura llamada Bitvise en la máquina del administrador del dominio, lo que les dio acceso remoto al sistema ESXi, incluido el almacenamiento utilizado por las máquinas virtuales. Alrededor de las 3:40 am se activó el ransomware y se cifraron los discos duros de los servidores ESXi.
Nota para más seguridad
“Los administradores que ejecutan ESXi u otros hipervisores en sus redes deben seguir las mejores prácticas de seguridad. Esto incluye el uso de contraseñas seguras y el uso de autenticación de múltiples factores siempre que sea posible”, dice Brandt. “ESXi Shell puede y debe desactivarse siempre que los empleados no lo utilicen para el mantenimiento de rutina, como durante la instalación de parches. El equipo de TI puede controlar esto utilizando los controles de la consola del servidor o las herramientas de administración de software proporcionadas por el proveedor”.
Los productos para endpoints, como Sophos Intercept X, protegen los sistemas al detectar las acciones y el comportamiento del ransomware y otros ataques. Cualquier intento de cifrar archivos se bloqueará en consecuencia. Los avisos de seguridad específicos para los hipervisores ESXi están disponibles en línea aquí.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.