Yaakov's Group | Ciberseguridad

Dos cepas de ransomware se dirigen al hipervisor ESXI de VMware a través de los créditos de vCenter robados

CARBON SPIDER y SPRITE SPIDER le brindan razones adicionales para parchear los problemas críticos de la semana pasada.

Recientemente se han actualizado dos variedades de ransomware para apuntar al hipervisor ESXi de VMware y cifrar archivos de máquinas virtuales, dice el proveedor de seguridad CrowdStrike.

Ninguno de los ataques ha encontrado un camino hacia ESXi en sí, lo cual es una buena noticia, ya que un ataque exitoso en el hipervisor de tipo uno significaría que los hosts podrían verse comprometidos. En cambio, ambos se basan en la búsqueda de credenciales para los servidores vCenter que se utilizan para administrar ESXi y las máquinas virtuales que atiende. No se relaje todavía, vAdmins, a menos que haya reparado la falla de calificación crítica revelada la semana pasada que permite la ejecución remota de código en un servidor vCenter.

CrowdStrike dice que las dos cepas de ransomware que se ha observado que atacan a ESXi se denominan CARBON SPIDER y SPRITE SPIDER.

Tampoco son jugadores nuevos. SPRITE SPIDER se ha observado desde al menos julio de 2020 y le gusta el ransomware llamado «Defray777».

Cuando quien maneja SPRITE SPIDER tiene en sus manos los credenciales de vCenter, una hazaña que logra sacándolos de los navegadores o de la memoria del host, CrowdStrike dice que “generalmente escribe la versión de Linux de Defray777 en / tmp /, usando un nombre de archivo que intenta hacerse pasar por un herramienta (p. ej., svc-new) «.

Una vez que esa herramienta se está ejecutando, SPRITE SPIDER «enumera la información del sistema y los procesos en el host ESXi mediante los comandos de lista de procesos uname, df y esxcli vm». Una vez hecho ese trabajo, finaliza la ejecución de las máquinas virtuales y las cifra.

La banda también sabe lo suficiente sobre VMware y ESXi que intenta desinstalar VMware Fault Domain Manager, una herramienta que reinicia automáticamente las VM fallidas.

CARBON SPIDER ha estado circulando desde 2016 y solía apuntar a dispositivos de punto de venta, pero en agosto de 2020 desarrolló su propio ransomware llamado «Darkside» e incluso creó una versión adaptada para atacar hosts ESXI. Esa versión centrada en VMware apunta a algunos de los formatos de archivo utilizados por ESXI y los cifra.

«Los archivos se cifran mediante el algoritmo ChaCha20 con una clave de 32 bytes y un nonce de 8 bytes, generados de forma única por archivo», dicen los analistas de CrowdStrike. «La clave ChaCha20 y el nonce luego se cifran utilizando una clave pública RSA de 4096 bits que está incrustada en el ransomware».

Los investigadores de CrowdStrike, Eric Loui y Sergei Frank, opinan que atacar a ESXi le da a la escoria de ransomware una recompensa potencial mayor porque tienen la posibilidad de cifrar todas las máquinas virtuales que tiende el hipervisor.

“Si estos ataques de ransomware en servidores ESXi continúan teniendo éxito, es probable que más adversarios comiencen a apuntar a la infraestructura de virtualización a mediano plazo”, escriben los dos investigadores de CrowdStrike.

Y ahora que VMware va todo incluido en las nubes híbridas, un solo inicio de sesión de vCenter podría incluso llegar a la nube pública.

Yaakov´s Group tiene la solución, te asesoramos para fortalecer la ciberseguridad en tu organización ¡Contáctanos! #Laexperienciaentecnología #cybersecurity #digitaltransformation  #Appsec #devops #devsecops

Fuente: The Register