En el último año, los ataques de ransomware dirigidos a servidores VMware ESXi se dispararon a niveles preocupantes. Solo en 2024, la demanda de rescate promedio alcanzó los 5 millones de dólares, afectando a empresas de todos los tamaños. Con cerca de 8,000 hosts ESXi expuestos directamente a internet, los ciberdelincuentes están aprovechando cada oportunidad para infiltrarse en estas infraestructuras críticas.
Y lo que es aún más preocupante: la mayoría de estos ataques no son obra de novatos. Las variantes más comunes son adaptaciones del infame ransomware Babuk, diseñadas específicamente para evadir las herramientas de seguridad tradicionales.
Pero aquí no termina la historia. Los puntos de entrada que logran explotar los atacantes no solo son utilizados por ellos mismos; también se venden a otros grupos de ransomware, lo que convierte estos accesos en un negocio muy rentable dentro del mercado negro cibernético. Esto significa que, aunque una organización no sea el objetivo inicial, podría terminar siendo atacada por otros actores de amenazas que compraron ese acceso.
En resumen, los ataques están más automatizados y organizados. Ya no hablamos de un hacker solitario lanzando un ataque al azar, sino de redes enteras de ciberdelincuentes que buscan maximizar el daño y los beneficios económicos. ¿El resultado? Un solo ataque a un servidor ESXi puede bloquear decenas de máquinas virtuales, paralizando las operaciones de una empresa y dejando a su equipo técnico con pocas opciones más allá de negociar el rescate.
Para entender cómo los ciberdelincuentes pueden tomar el control de un servidor ESXi, primero hay que tener claro cómo funciona la arquitectura de estos entornos virtualizados. Tranquilo, no es necesario ser un experto técnico, pero conocer los componentes clave te ayudará a entender por dónde pueden entrar los atacantes y cuáles son los puntos débiles que suelen aprovechar.
Empecemos con algo importante: cuando hablamos de servidores ESXi, no estamos hablando de una computadora cualquiera. Los ESXi son el corazón de muchas infraestructuras virtualizadas y, por sí solos, ya son un objetivo jugoso. Pero, ¿sabes qué es aún más valioso? El nodo central que administra todos esos servidores ESXi: el famoso vCenter.
El vCenter es como el "cerebro" que gestiona múltiples hosts ESXi desde un solo lugar. En términos prácticos, si un atacante logra comprometer el vCenter, no necesita ir uno por uno hackeando los servidores ESXi. Con ese acceso centralizado, puede tomar el control de toda la infraestructura en cuestión de minutos.
Ahora bien, aquí viene la clave del asunto. El vCenter utiliza una cuenta predeterminada llamada "vpxuser", que tiene permisos de root (o sea, acceso total) en los servidores ESXi conectados. Esta cuenta es la que permite realizar acciones administrativas importantes, como mover máquinas virtuales entre hosts o modificar configuraciones. Y, sí, también permite que un atacante pueda ejecutar ransomware.
Pero, ¿cómo logran los atacantes descifrar esas contraseñas? Aquí es donde se pone interesante. Las contraseñas cifradas de los hosts ESXi se almacenan en una tabla dentro del servidor vCenter. El truco está en que el vCenter guarda una clave secreta que permite descifrar esas contraseñas. Una vez que los atacantes consiguen esa clave, básicamente tienen acceso libre a todos los hosts ESXi conectados.
Con esto, los atacantes pueden hacer prácticamente lo que quieran:
En resumen, comprometer el vCenter es como encontrar la llave maestra que abre todas las puertas. Los atacantes saben que, si logran acceder a ese punto central, pueden maximizar el impacto de su ataque y tener el control total de la red. Por eso, asegurar tanto los hosts ESXi como el vCenter es fundamental si no quieres encontrarte con la desagradable sorpresa de que toda tu infraestructura virtual está secuestrada por ransomware.
Podría interesarte leer: Alianzas de Grupos de Ransomware: ¿Cómo aumentan los ciberataques?
Cuando los atacantes lanzan un ataque de ransomware, su principal objetivo es hacerte la vida imposible para que no te quede más remedio que pagar el rescate. Y en los ataques a servidores ESXi no es diferente. Lo que hacen es apuntar directamente a los archivos esenciales que mantienen en pie las máquinas virtuales. Si esos archivos se cifran, la recuperación se convierte en un verdadero dolor de cabeza. Pero, ¿qué archivos son esos y por qué son tan importantes? Vamos a verlo de forma sencilla:
Archivos VMDK: Estos son los discos duros virtuales que contienen todo el contenido de las máquinas virtuales, como si fueran el disco físico de una computadora. Si un archivo VMDK es cifrado, la máquina virtual queda completamente inoperativa. Básicamente, es como si te cambiaran la cerradura de un armario donde guardas todo y no pudieras acceder a nada.
Archivos VMEM: Estos archivos almacenan la memoria temporal de la máquina virtual. Si los atacantes los cifran o los eliminan, se puede perder información importante, y además resulta muy complicado reanudar máquinas virtuales que estaban en estado suspendido.
Archivos VSWP: Piensa en estos como archivos de intercambio que ayudan a la máquina virtual cuando la memoria física del host ya no da para más. Si los VSWP son cifrados, es como si de pronto la máquina virtual se quedara sin memoria y empezara a fallar.
Archivos VMSN: Estos son las instantáneas o snapshots, que básicamente son copias de seguridad rápidas de una máquina virtual en un estado específico. Los atacantes saben que, si cifran estas instantáneas, los procesos de recuperación ante desastres se complican muchísimo, porque no puedes restaurar la máquina a un punto anterior.
Así que, como ves, los atacantes no eligen cualquier archivo al azar. Van directo a los que son esenciales para que las máquinas virtuales funcionen y para que las empresas puedan recuperarlas en caso de un fallo.
Dado que los archivos que atacan en ESXi son bastante grandes (los discos virtuales, por ejemplo, pueden ocupar cientos de gigabytes), los ciberdelincuentes no pueden perder tiempo. Por eso suelen usar un cifrado híbrido, que combina dos tipos de cifrado para maximizar su eficiencia:
Cifrado simétrico: Este es rápido y eficiente para manejar grandes volúmenes de datos. Métodos como AES o Chacha20 permiten a los atacantes cifrar archivos enormes en poco tiempo. Esto es importante porque cuanto más rápido cifren, menos tiempo tendrán los sistemas de seguridad para detectar y frenar el ataque.
Cifrado asimétrico: Aunque es más lento, este tipo de cifrado es crucial para proteger las claves utilizadas en el cifrado simétrico. ¿Por qué? Porque usa una clave pública para cifrar los datos y una clave privada para descifrarlos. Solo el atacante tiene la clave privada, por lo que es prácticamente imposible recuperar los archivos sin esa clave.
En un ataque de ransomware, lo que hacen los ciberdelincuentes es usar el cifrado simétrico para cifrar los archivos grandes (como los VMDK) y luego proteger esas claves simétricas con el cifrado asimétrico. De este modo, incluso si logras acceder a los archivos cifrados, no puedes descifrarlos sin la clave privada del atacante.
Podría interesarte leer: Detección de Ataques de Ransomware con Wazuh
Si ya tienes claro que la seguridad de tu vCenter es una puerta de entrada muy tentadora para los atacantes, el siguiente paso es ponérselo difícil. No se trata solo de "tener antivirus" o "usar contraseñas fuertes". Hablamos de aplicar medidas concretas que puedan marcar la diferencia cuando alguien intente comprometer tu infraestructura virtual. Aquí te dejamos algunas estrategias clave para reforzar la seguridad de tu vCenter y mitigar los riesgos.
Este es un clásico consejo de seguridad, pero no por eso deja de ser importante. Siempre, siempre asegúrate de tener la última versión de VMware vCenter Server Appliance (VCSA). Las actualizaciones no solo traen nuevas funciones, sino también parches de seguridad que corrigen vulnerabilidades que los atacantes podrían aprovechar.
Y si tu vCenter todavía está basado en Windows, es momento de considerar un cambio. Migrar a VCSA puede ser un gran paso en términos de seguridad, ya que esta versión está diseñada específicamente para gestionar vSphere y tiene una arquitectura más robusta frente a ataques.
¿Todavía usas cuentas predeterminadas o contraseñas básicas? Eso es un ¡no rotundo! Los atacantes lo saben y siempre prueban primero con las credenciales por defecto. Por eso, no basta con cambiar la contraseña inicial.
Implementa autenticación multifactor (MFA) en todas las cuentas críticas. Esto añade una capa extra de seguridad que dificulta muchísimo el acceso a los atacantes, incluso si logran robar una contraseña. Y, por supuesto, elimina cualquier usuario predeterminado o desactiva las cuentas que no estén en uso. No dejes puertas abiertas innecesarias.
Tener herramientas de detección y prevención activas en tu vCenter puede marcar la diferencia entre detectar un ataque a tiempo o descubrirlo cuando ya es demasiado tarde. Las soluciones como EDR (Endpoint Detection and Response) o XDR (Extended Detection and Response), además de otras herramientas de terceros, pueden ayudarte a monitorizar la actividad sospechosa en tu entorno.
El SOC de TecnetOne incorpora capacidades avanzadas de XDR (Extended Detection and Response) para ayudarte a detectar, prevenir y responder a amenazas sofisticadas en tiempo real. Estas funciones permiten una supervisión proactiva de tu infraestructura, identificando comportamientos sospechosos antes de que se conviertan en un problema crítico.
La segmentación de red es una de esas medidas que puede parecer tediosa, pero es increíblemente efectiva. Se trata de dividir tu red en distintos segmentos para limitar el acceso de los atacantes y evitar que puedan moverse libremente si logran entrar.
Por ejemplo, asegúrate de que la red que usa el vCenter para la administración esté separada de otras partes de la red. Esto significa que, si un atacante compromete un segmento, no podrá acceder fácilmente a tu vCenter o a otras máquinas virtuales conectadas.
Además, limita el tráfico que puede entrar y salir de cada segmento de red. Esto no solo reduce los riesgos, sino que también hace que un ataque sea mucho más lento y complicado de ejecutar.
Por mucho que refuerces la seguridad de tu vCenter, siempre existe la posibilidad de que un ataque logre saltar las barreras. Por eso, una solución sólida de copias de seguridad no es opcional, ¡es esencial!
Pero ojo, no se trata solo de tener backups y olvidarse del tema. Es fundamental que las copias de seguridad se realicen de forma frecuente, que estén protegidas contra manipulaciones y que se guarden en ubicaciones separadas para evitar que también sean afectadas en un ataque. Además, asegúrate de probar periódicamente tus planes de recuperación para no llevarte sorpresas desagradables cuando más los necesites.
Una solución como TecnetProtect puede ser tu mejor aliada para mantener tus datos seguros y asegurarte de que, pase lo que pase, siempre tengas una forma de restaurar tus sistemas rápidamente. TecnetProtect no solo te permite automatizar tus copias de seguridad, sino que también ofrece opciones avanzadas para proteger esos backups frente a ransomware y otras amenazas. Recuerda: la clave no es solo prevenir ataques, sino estar preparado para recuperarte cuando las cosas no salen según lo planeado.
No existe una solución mágica que garantice que tu vCenter estará 100% protegido, pero implementar estas estrategias es como poner varias cerraduras en tu puerta. Cada capa de seguridad extra que añadas significa más trabajo para los atacantes y menos probabilidades de que logren su objetivo. Así que no te quedes solo con lo básico: actualiza, refuerza accesos, monitorea, haz copias de seguridad y asegúrate de que tu red esté bien segmentada. Recuerda que, en ciberseguridad, lo que realmente importa es hacer que los ataques sean lo más difíciles y costosos posible para los ciberdelincuentes.