Ransomware Gang cifra los servidores VMware ESXi con un script de Python
AS-097-2021
Fecha: 6/10/2021
Resumen:
Los operadores de una banda desconocida de ransomware están utilizando un script de Python para cifrar las máquinas virtuales alojadas en los servidores VMware ESXi. Si bien el lenguaje de programación Python no se usa comúnmente en el desarrollo de Ransomware, es una opción lógica para los sistemas ESXi, ya que estos sistemas basados en Linux vienen con Python instalado de forma predeterminada.
Cómo opera el cifrado con un script de 6 kb
En medio de la noche, los atacantes violaron la red de la víctima durante el fin de semana al iniciar sesión en una cuenta de TeamViewer que se ejecuta en un dispositivo con un administrador de dominio conectado.
Luego comenzaron a buscar objetivos adicionales en la red utilizando Advanced IP Scanner e iniciaron sesión en un servidor ESXi a través del servicio SSH ESXi Shell incorporado, que el personal de TI dejó activada accidentalmente (aunque está deshabilitado de forma predeterminada).
Finalmente, ejecutaron un script Python de 6 Kb para cifrar todos los archivos de configuración de discos virtuales y máquinas virtuales.
Recomendaciones
Los administradores que operan ESXi u otros hipervisores en sus redes deben seguir las mejores prácticas de seguridad, evitando la reutilización de contraseñas y utilizando contraseñas complejas y difíciles de encontrar con fuerza bruta.
Siempre que sea posible, habilite el uso de la autenticación multifactor y aplique el uso de MFA para cuentas con permisos altos, como los administradores de dominios.
VMware también proporciona asesoramiento sobre la protección de los servidores ESXi limitando el riesgo de acceso no autorizado.
Noticia relevante
Operadores de Ransomware detrás de cientos de ataques, fueron arrestados en Ucrania en operación conjunta entre el FBI, la policía francesa, y la policía de Ucraniana.
Referencias:
https://www.bankinfosecurity.com/how-ransomware-attackers-hit-virtual-machine-hypervisors-a-17675
https://securityaffairs.co/wordpress/122993/malware/ransomware-gang-script-vmware-esxi.html