Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
73
)
-
▼
enero
(Total:
73
)
-
Ransomware en Servidores ESXi: Amenazas, Vulnerabi...
-
Roban información con Infostealer Lumma mediante t...
-
Cómo compartir contraseñas en Google Chrome con "M...
-
El arquitecto jefe de Xeon cambia de Intel a Qualc...
-
Hackean cuentas de Path of Exile 2 tras robar una ...
-
Microsoft consigue que su IA se vuelva experta en ...
-
Cómo instalar Stremio en Raspberry Pi para conecta...
-
"Free our Feeds" quiere evitar que los millonarios...
-
Otra Botnet Mirai para realizar ataques DDoS
-
Telegram comienza a colaborar con las autoridades ...
-
Múltiples vulnerabilidades críticas en productos S...
-
La historia del trabajador número 8 de Apple que l...
-
Descubren cómo hackear el controlador USB-C del iP...
-
¿A qué temperatura empieza la CPU a envejecer?
-
Xiaomi presenta Redmi Note 14
-
La IA comenzará a subtitular los vídeos en VLC
-
Dispositivos Ivanti Connect infectados con malware...
-
Operaciones binarias: cómo funcionan en los ordena...
-
Tu cuenta de Bluesky en Mastodon
-
El Ministerio de Igualdad de España se gastó 211.0...
-
Google mejora la transferencia de archivos en Andr...
-
Así hackearon a Telefónica: un infostealer e ingen...
-
Google Daily Listen, una IA que resume tus noticia...
-
MAGIS TV PRO: cómo descargar BlueStacks 5 para pod...
-
Telefónica sufre la filtración de los datos de su ...
-
OFFAT: OFFensive API Tester OWASP
-
Ejemplos ataques DDoS capa 7 con MHDDoS
-
HDMI 2.2: promete 96 Gbps y el fin de los problema...
-
Jeff Bezos competirá con Elon Musk en España por o...
-
Amenazan con exponer ubicaciones de más de 40 mill...
-
¿Qué es Netflow e IPFIX? Monitoreo y Análisis de T...
-
Activar SATA Link Power Management en OPNsense
-
Más de 4.000 puertas traseras usando webshells reg...
-
Automatizar copias de seguridad en OPNsense
-
Optimizar rendimiento de OPNsense: Tunables
-
Microsoft Phi-4, su IA más poderosa que ahora es d...
-
Corsair Xeneon Edge, una pantalla táctil de 14,5" ...
-
Raspberry Pi 5 con 16GB
-
Establecer un clúster OPNsense HA (Alta Disponibil...
-
El fin del soporte para Windows 10 en octubre de 2...
-
Comando netsh en Windows: ejemplos de uso
-
Los cambios en la moderación de Meta permiten llam...
-
AMD anuncia sus nuevos procesadores gaming de sobr...
-
Los nuevos procesadores Core Ultra 200 de Intel de...
-
Razer presenta un prototipo de silla con calefacci...
-
¿Quieres un adaptador de cassette con Bluetooth? ¡...
-
Megafiltración de datos en call center expone a 7 ...
-
Túnel SSH port forwarding: Local, remote y dynamic
-
Herramientas de IA gratuitas que debes conocer
-
ChatGPT reconoce que pierden dinero incluso con la...
-
Hackean los datos de los miembros de la argentina ...
-
Publicar automáticamente de un Feed RSS a Telegram...
-
¿Qué es un webhook?
-
Nvidia presenta las nuevas tarjetas gráficas GeFor...
-
Qué es el rate limit y por qué debes limitar petic...
-
Monitorización HDD y SSD con SMART en OPNsense con...
-
¿Qué es la tecnología HARM de discos duros? ¿Qué i...
-
Alternativas gratuitas al Escritorio Remoto: RustD...
-
Uptime Kuma, monitoreo de servicios y más
-
El CAPTCHA de DOOM
-
La importancia de la pasta térmica del procesador
-
Intel XMP VS AMD EXPO
-
Vulnerabilidad crítica en Nuclei que permite ejecu...
-
Detenido un soldado estadounidense de 20 años que ...
-
DoubleClickjacking: la nueva amenaza de los dobles...
-
OPNsense IPv6 tunnel con Hurricane Electric Tunnel...
-
Configurar Dynamic DNS (DDNS) en OPNsense
-
Cómo escanear documentos y convertirlos a PDF dire...
-
¿Qué es la ventana de contexto en IA?
-
Estados Unidos ofrece 10 millones de dólares por l...
-
Apple pagará 95 millones de dólares para resolver ...
-
Exploit DoS para LDAP Nightmare (CVE-2024-49112)
-
0.0.0.0 : ¿Qué es la Dirección IP “cero” ?
-
-
▼
enero
(Total:
73
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Telefónica, una importante empresa de telecomunicaciones, confirmó recientemente una brecha en su sistema interno de venta de billetes, que ... -
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d... -
El puerto USB-C en los iPhone 15 y iPhone 15 Pro, una de las novedades más destacadas de esa generación, despertó tanto entusiasmo como du...
Ransomware en Servidores ESXi: Amenazas, Vulnerabilidades y Estrategias de Mitigación
En la actualidad, las variantes del ransomware Babuk están dirigiéndose específicamente a servidores ESXi, evolucionando para evadir las herramientas de seguridad más avanzadas. Estas amenazas se intensifican debido a la creciente disponibilidad de accesos iniciales en mercados clandestinos, donde ciberdelincuentes monetizan vulnerabilidades vendiendo acceso a actores malintencionados, incluidos grupos especializados en ransomware.
Ante este panorama, las organizaciones enfrentan un frente de ataque cada vez más amplio, compuesto por nuevas vulnerabilidades, puntos de entrada diversificados y redes de ciberdelincuencia altamente organizadas. En este contexto, fortalecer la seguridad de los servidores ESXi es esencial para mitigar riesgos críticos.
Entendiendo la Arquitectura de ESXi
Para comprender cómo un atacante puede comprometer un host ESXi, primero es necesario entender la arquitectura de los entornos virtualizados. Los atacantes suelen enfocarse en el vCenter, el núcleo de administración centralizado de la infraestructura VMware.
El servidor vCenter utiliza la cuenta predeterminada «vpxuser», que posee permisos de root y se emplea para tareas administrativas como mover máquinas virtuales entre hosts y modificar configuraciones críticas. Las contraseñas cifradas de los hosts ESXi conectados se almacenan en una tabla dentro del vCenter, protegidas por una clave secreta. Si un atacante descifra estas credenciales, obtiene control total sobre los hosts ESXi y puede realizar acciones maliciosas, como ejecutar ransomware, modificar configuraciones y establecer persistencia mediante SSH.
Cómo Funciona el Cifrado en Ataques a ESXi
Los ataques de ransomware dirigidos a servidores ESXi tienen como objetivo bloquear operaciones clave mediante el cifrado de archivos esenciales, como:
- Archivos VMDK: Almacenan los discos duros virtuales. Su cifrado deja inoperables las máquinas virtuales.
- Archivos VMEM: Archivos de paginación que, si se eliminan o cifran, causan pérdida de datos.
- Archivos VSWP: Archivos de intercambio que, al ser comprometidos, provocan bloqueos en las máquinas virtuales.
- Archivos VMSN: Instantáneas críticas para la recuperación ante desastres, cuyo cifrado dificulta los procesos de restauración.
Dado el tamaño de estos archivos, los atacantes suelen usar un enfoque híbrido de cifrado:
- Cifrado simétrico: Métodos como AES o Chacha20 permiten cifrar grandes volúmenes de datos rápidamente, reduciendo la oportunidad de detección.
- Cifrado asimétrico: Aunque más lento, asegura las claves de cifrado simétrico, haciendo que solo los atacantes puedan descifrarlas mediante claves privadas.
Este enfoque refuerza la seguridad de los atacantes, complicando la recuperación sin pagar el rescate.
Estrategias Clave para Mitigar Riesgos en ESXi
Para proteger un entorno vCenter y prevenir ataques de ransomware en ESXi, las organizaciones deben implementar medidas proactivas y efectivas:
- Mantener vCenter Actualizado
Utilice siempre la versión más reciente de VMware vCenter Server Appliance (VCSA) y realice actualizaciones periódicas. La migración desde vCenter basado en Windows a VCSA puede mejorar la seguridad, dado que este último está diseñado exclusivamente para administrar vSphere. - Implementar Autenticación Multifactor (MFA)
Reemplace las contraseñas predeterminadas e implemente MFA para cuentas críticas, agregando una capa adicional de protección contra accesos no autorizados. - Monitoreo y Detección Avanzada
Configure herramientas de detección, como EDR y XDR, directamente en su entorno vCenter. Estas herramientas permiten monitorear intentos de acceso sospechosos, actividad inusual en la cuenta «vpxuser» o señales de cifrado de archivos en el sistema. - Segmentación de Redes
Segmente la red de administración de vCenter, separándola de otros segmentos. Esto limita el movimiento lateral de los atacantes y reduce el impacto de posibles compromisos.
La Importancia de las Pruebas Continuas
Proteger los servidores ESXi y el vCenter es crucial, ya que un compromiso puede impactar severamente la continuidad operativa y exponer datos sensibles. La realización de pruebas de seguridad regulares ayuda a identificar vulnerabilidades antes de que sean explotadas.
Colabore con expertos en ciberseguridad para desarrollar una estrategia integral de gestión de la exposición a amenazas (CTEM), personalizada para su infraestructura. Este enfoque garantizará una mejora constante de las defensas y la capacidad de respuesta ante las amenazas emergentes.
En conclusión
La evolución de las amenazas de ransomware contra servidores ESXi subraya la necesidad de adoptar una postura de seguridad sólida. Mantener los sistemas actualizados, implementar medidas de autenticación avanzadas, y realizar pruebas continuas son acciones clave para mitigar riesgos. Proteger el vCenter es proteger el corazón de su infraestructura virtual y, en última instancia, la continuidad operativa de su organización.
Fuentes:
https://thehackernews.com/2025/01/ransomware-on-esxi-mechanization-of.html
Etiquetas:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.