Los creadores del ransomware BlackByte se han unido al creciente número de
ciberdelincuentes que atacan una reciente vulnerabilidad de omisión de
autenticación en VMware ESXi para comprometer la infraestructura central de
las redes empresariales.
El error, rastreado como
CVE-2024-37085, permite a un atacante con suficiente acceso en Active Directory (AD)
obtener acceso completo a un host ESXi
si ese host usa AD para la administración de usuarios.
Microsoft y otros proveedores de seguridad
identificaron previamente grupos de ransomware
como Black Basta (también conocido como Storm-0506), Manatee Tempest,
Scattered Spider (también conocido como Octo Tempest) y Storm-1175 que
aprovechan CVE-2024-37085 para implementar cepas de ransomware como Akira y
Black Basta. En estos ataques, los adversarios usaron sus privilegios de AD
para crear o cambiar el nombre de un grupo llamado «ESX Admins» y luego usar
el grupo para acceder al hipervisor ESXi como un usuario con privilegios
completos.
El uso de la vulnerabilidad por parte de BlackByte representa un giro de la
práctica habitual del grupo de amenazas de escanear y explotar
vulnerabilidades públicas, como la
falla ProxyShell en Microsoft
Exchange, para ganar un punto de apoyo inicial. Los investigadores de Cisco
Talos que observaron que los actores de amenazas de BlackByte apuntaban a
CVE-2024-37085 en ataques recientes describieron la táctica como
uno de varios cambios
que realizaron recientemente para mantenerse por delante de los defensores.
Otros cambios incluyen el uso de BlackByteNT, un nuevo cifrador de BlackByte
escrito en C/C++, que agrega hasta cuatro controladores vulnerables, en
comparación con los tres anteriores, en sistemas comprometidos y utiliza las
credenciales AD de la organización víctima para autopropagarse.
La investigación de Talos demostró que las organizaciones de los sectores de
servicios profesionales, científicos y técnicos son más vulnerables a ataques
que implican el uso de controladores legítimos pero vulnerables para eludir
los mecanismos de seguridad, una técnica a la que los investigadores se
refieren como
Bring Your Own Vulnerable Driver (BYOVD).
«La progresión de BlackByte en los lenguajes de programación de
C# a Go y posteriormente a C/C++
en la última versión de su cifrado, BlackByteNT, representa un esfuerzo
deliberado para aumentar la resistencia del malware contra la detección y el
análisis», dijeron los investigadores de Talos James Nutland, Craig Jackson, y Terryn
Valikodath.
«La naturaleza autopropagante del cifrado BlackByte crea desafíos
adicionales para los defensores. El uso de la técnica BYOVD agrava estos
desafíos ya que puede limitar la efectividad de los controles de seguridad
durante los esfuerzos de contención y erradicación».
El giro de BackByte hacia vulnerabilidades como CVE-2024-37085 en ESXi es una
manifestación de cómo los atacantes evolucionan constantemente sus tácticas,
técnicas y procedimientos para adelantarse a los defensores, afirma Darren
Guccione, director ejecutivo y cofundador de Keeper Security.
«La explotación de vulnerabilidades en ESXi por parte de BlackByte y
actores de amenazas similares indica un esfuerzo concentrado para
comprometer la infraestructura central de las redes empresariales», dice Guccione.
«Dado que los servidores ESXi suelen albergar varias máquinas virtuales, un
único ataque exitoso puede provocar una interrupción generalizada, lo que
los convierte en un objetivo principal para los grupos de ransomware».
Sygnia, que investigó numerosos ataques de ransomware contra VMWare ESXi y
otros entornos virtualizados a principios de este año,
describió que los ataques
se desarrollan en un patrón específico en la mayoría de los casos.
La cadena de ataque comienza cuando el adversario obtiene acceso inicial a un
entorno de destino mediante un ataque de phishing, explotación de
vulnerabilidad o descarga de archivos maliciosos. Una vez en una red, los
atacantes tienden a utilizar tácticas como alterar la membresía de grupos de
dominio para instancias de VMware conectadas a un dominio, o mediante el
secuestro de RDP, para obtener credenciales para hosts ESXi o vCenter. Luego
validan sus credenciales y las utilizan para ejecutar su ransomware en los
hosts ESXi, comprometer los sistemas de respaldo o cambiarles las contraseñas
y luego filtrar los datos.
Según los investigadores, los ataques a entornos ESXi aumentan la presión
sobre las organizaciones y sus equipos de seguridad para mantener un programa
de seguridad versátil.
«Esto incluye prácticas como una sólida gestión de vulnerabilidades,
intercambio de inteligencia sobre amenazas y políticas y procedimientos de
respuesta a incidentes para seguir el ritmo de la evolución de los TTP del
adversario», dijeron los investigadores de Cisco Talos.
«En este caso, la gestión de vulnerabilidades y el intercambio de
información sobre amenazas ayudarán a identificar vías novedosas o menos
conocidas que los adversarios pueden tomar durante un ataque como la
vulnerabilidad ESXi».
Heath Renfrow, cofundador de la empresa de recuperación ante desastres
Fenix24, dice que con CVE-2024-37085, las organizaciones enfrentan un desafío
adicional debido a las dificultades percibidas para implementar mitigaciones.
«Estas mitigaciones incluyen desconectar ESXi de AD, eliminar cualquier
grupo utilizado anteriormente en AD que administrara ESXi y parchear ESXi a
8.0 U3, donde se soluciona la vulnerabilidad», dice Renfrow.
Fases comunes de ataque de virtualización
El
análisis de Sygnia
indica que los ataques de ransomware en entornos de virtualización suelen
seguir un patrón similar:
-
Acceso inicial: los actores de amenazas obtienen acceso inicial a la
organización utilizando técnicas establecidas, como realizar ataques de
phishing, descargar archivos maliciosos o explotar vulnerabilidades
conocidas en activos conectados a Internet. -
Movimiento lateral y escalamiento de privilegios: al obtener acceso,
los actores de amenazas aumentan sus privilegios para obtener credenciales
para hosts ESXi o vCenter. Esta escalada se puede lograr mediante varios
métodos, como alterar las membresías de grupos de dominio para VMware
conectados al dominio, emplear ataques de fuerza bruta, ejecutar intentos de
secuestro de RDP dirigidos al personal de TI o utilizar exploits como
ESXiArgs. -
Validación de acceso: después de asegurar el acceso inicial a la
infraestructura de virtualización, los actores de amenazas validan su
capacidad para interactuar con ella. Si se deniega el acceso directo, los
atacantes utilizan vCenter para habilitar SSH en todos los servidores ESXi y
también pueden restablecer las contraseñas del servidor o ejecutar comandos
de forma remota mediante paquetes de instalación de vSphere (VIB)
personalizados. -
Implementación de ransomware virtualizado: los actores de amenazas
utilizan su acceso para conectarse a ESXi y ejecutar el ransomware en los
hosts ESXi. -
Compromiso de las copias de seguridad: Apuntando más allá del entorno
virtualizado, los actores de amenazas podrían intentar tomar el control de
los sistemas de copias de seguridad. Al cifrar o eliminar el almacenamiento
de respaldo y, en algunos casos, cambiar las contraseñas del sistema de
respaldo, los actores de amenazas pretenden obstaculizar la recuperación del
entorno virtualizado y así obtener una influencia adicional sobre sus
víctimas. -
Exfiltración de datos: los actores de amenazas a menudo intentan
implementar un esquema de doble extorsión, exfiltrando datos a ubicaciones
externas. Esto permite a los actores de amenazas no solo cifrar los archivos
existentes, sino también divulgar públicamente los datos exfiltrados, para
causar un daño adicional a la reputación. -
Ejecución de ransomware: en este punto, los actores de amenazas
apagan todas las máquinas virtuales e inician un ransomware que cifra la
carpeta «/vmfs/volumes» del sistema de archivos ESXi. -
Implementación adicional de ransomware: los actores de amenazas que
obtienen acceso previo a los mecanismos de implementación (como SCCM o
Active Directory) pueden propagar ransomware adicional a servidores y
estaciones de trabajo no virtualizados, amplificando el impacto del ataque
más allá del ámbito de la virtualización.
Recomendaciones para defensores
-
Implementar MFA para todos los accesos remotos y conexiones a la nube.
Priorice el «push verificado» como método MFA sobre opciones menos seguras
como SMS o llamadas telefónicas. -
Auditar la configuración de VPN. Confirme que se eliminen las
políticas de VPN heredadas y que los intentos de autenticación que no
coincidan con una política de VPN actual se rechacen de forma
predeterminada. Restrinja el acceso VPN solo a los segmentos y servicios de
red necesarios, limitando la exposición de activos críticos como
controladores de dominio. -
Configurar alertas para cualquier cambio en grupos privilegiados,
como la creación de nuevos grupos de usuarios o la adición de cuentas a
administradores de dominio. Asegúrese de que los privilegios administrativos
se otorguen solo cuando sea necesario y se auditen de forma rutinaria a
partir de entonces. Se puede utilizar una solución de gestión de acceso
privilegiado (PAM) para optimizar el control y la supervisión de cuentas
privilegiadas. -
Limitar o deshabilitar el uso de NTLM cuando sea posible y aplicar
métodos de autenticación más seguros como Kerberos.
Limite la tasa de intentos y fallas de autenticación en interfaces internas
y de cara al público para evitar el escaneo de autenticación automatizado. -
Desactivar SMBv1 y aplicar la firma y el cifrado de SMB para proteger
contra el movimiento lateral y la propagación de malware. -
Implementar clientes EDR en todos los sistemas del entorno.
Configure una contraseña de administrador en los clientes EDR para evitar la
manipulación o eliminación no autorizada del cliente. -
Deshabilitar las cuentas de proveedores y las capacidades de acceso
remoto cuando no estén en uso activo. -
Crear detecciones de cambios de configuración no autorizados que se
puedan realizar en varios sistemas del entorno, incluidos cambios en las
políticas de Windows Defender, cambios no autorizados en los objetos de
política de grupo y creación de tareas programadas y servicios instalados
inusuales. -
Desarrollar y documentar procedimientos para restablecer contraseñas
empresariales
para garantizar que todas las credenciales de usuario se puedan restablecer
rápida y completamente. Incluya procedimientos para transferir tickets
Kerberos críticos en esta documentación. -
Reforzar y parchear los hosts ESX para reducir la superficie de
ataque de estos servidores críticos en la medida de lo posible y garantizar
que las vulnerabilidades recién descubiertas se corrijan lo más rápido
posible.
Fuente:
DarkReading