Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
152
)
-
▼
enero
(Total:
152
)
- Facebook bloquea cualquier tema de Linux de Distro...
- Ramsomware Makop y Lynx
- NVIDIA pide explicaciones a Super Micro por vender...
- Investigadores canadienses afirman que un ajuste d...
- Vulnerabilidad crítica en Cacti (SNMP)
- FARM discos duros Seagate
- DeepSeek habría sido entrenada con datos robados a...
- Alibaba presenta Qwen2.5-Max, su poderosa IA
- Huawei dice tener un chip para IA igual de potente...
- El fabricante de móviles Oppo es víctima de una gr...
- DeepSeek puede crear malware para robar tarjetas d...
- Historia del fabricante Asus
- Instalar DeepSeek (destilado) con Ollama en tu ord...
- Lossless Scaling: ¿Qué es y cómo funciona?
- Una hora de anuncios para ver un simple vídeo de Y...
- Herramientas gratuitas para transcribir de audio a...
- OpenAI Operator: el agente de IA que automatiza ta...
- DeepSeek Janus-Pro-7B, otro modelo de IA multimoda...
- DeepSeek es víctima de un ataque DDoS
- NVIDIA DLSS 4 (Tecnología de Escalado de nvidia)
- Sony abandona los discos Blu-Ray grabables, MiniDi...
- Vulnerabilidad en el framework Llama Stack de Meta...
- PayPal pagará 2 millones de dólares por la filtrac...
- DeepSeek, la herramienta china que revoluciona la ...
- 119 vulnerabilidades de seguridad en implementacio...
- Cómo bloquear y demorar bots IA de Scraping web
- Oracle, en negociaciones con ByteDance para compra...
- Descubren que Elon Musk hacía trampas en los juego...
- Por ser cliente de Movistar en España tienes grati...
- HDMI 2.2 VS DisplayPort 2.1
- Filtrados datos personales de asegurados de Asisa
- Los fallos que cometió Ulbricht para ser detenido:...
- Instagram desata las críticas de los usuarios espa...
- Donald Trump indulta a Ross Ulbricht, creador del ...
- Alia, la IA del Gobierno Español, es un desastre: ...
- Stargate, un proyecto de Estados Unidos para inver...
- Ataques del ransomware BlackBasta mediante Microso...
- El mayor ataque DDoS registrado alcanzó 5,6Tb/s me...
- Tras el éxito de Doom en documentos PDF, ahora tam...
- Cae una banda de ciberestafadores que enviaba hast...
- Cómo desactivar el Antimalware Service Executable ...
- Herramienta Restablecer Windows
- Seagate llega a los 36 TB con sus nuevos discos du...
- YST (‘Yo soy tú’, como se autodenominó irónicament...
- ¿Qué es la pipeline?
- Una chica de 28 años se enamora de ChatGPT
- Copilot+ ya permite la búsqueda local
- DORA: la normativa europea que obliga a los bancos...
- Apple desactiva funciones de Apple Intelligence po...
- La empresa de hosting GoDaddy, obligada a reforzar...
- Domina los ficheros PDF con dos servicios Docker
- OpenAI desarrolla una IA para prolongar la vida hu...
- TikTok cierra en Estados Unidos
- Vulnerabilidad permite eludir UEFI Secure Boot
- Normativa Drones España 2025
- Robados los datos personales de 97.000 aspirantes ...
- ¿Cómo volar un dron de noche? Esta es la normativa...
- Expuestas 15.000 configuraciones robadas de FortiG...
- Filtración masiva en China expone 1.500 millones d...
- Un ciberataque expone la identidad de 160.000 guar...
- La Policía de España advierte sobre una nueva técn...
- Microsoft estrena protección del administrador de ...
- Windows 11 con sólo 184 MB de RAM
- Evilginx 3 para ataques man-in-the-middle mediante...
- Cómo Barcelona se convirtió en un centro de empres...
- El Gobierno de España anuncia la creación de un Ce...
- RDP Bitmap Forensics para investigaciones DFIR
- Más de 660.000 servidores Rsync expuestos a ataque...
- El FBI elimina el malware chino PlugX en 4.250 ord...
- Hiren's BootCD PE con Windows 11
- Las chicas del ENIAC y las programadoras de los Co...
- Trucos de Windows 11
- Millones de cuentas vulnerables por fallo en OAuth...
- Si no actualizas a Windows 11, no podrás usar Offi...
- Jugar al DOOM dentro de un archivo PDF
- Los mejores procesadores para jugar en 2025, ¿cuán...
- "Explotación masiva" de los firewalls de Fortinet ...
- Cómo funciona la sincronización en el almacenamien...
- Parallels ya permite emular Windows y Linux las Ma...
- Ransomware en Servidores ESXi: Amenazas, Vulnerabi...
- Roban información con Infostealer Lumma mediante t...
- Cómo compartir contraseñas en Google Chrome con "M...
- El arquitecto jefe de Xeon cambia de Intel a Qualc...
- Hackean cuentas de Path of Exile 2 tras robar una ...
- Microsoft consigue que su IA se vuelva experta en ...
- Cómo instalar Stremio en Raspberry Pi para conecta...
- "Free our Feeds" quiere evitar que los millonarios...
- Otra Botnet Mirai para realizar ataques DDoS
- Telegram comienza a colaborar con las autoridades ...
- Múltiples vulnerabilidades críticas en productos S...
- La historia del trabajador número 8 de Apple que l...
- Descubren cómo hackear el controlador USB-C del iP...
- ¿A qué temperatura empieza la CPU a envejecer?
- Xiaomi presenta Redmi Note 14
- La IA comenzará a subtitular los vídeos en VLC
- Dispositivos Ivanti Connect infectados con malware...
- Operaciones binarias: cómo funcionan en los ordena...
- Tu cuenta de Bluesky en Mastodon
- El Ministerio de Igualdad de España se gastó 211.0...
- Google mejora la transferencia de archivos en Andr...
-
▼
enero
(Total:
152
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Cómo instalar DeepSeek en tu ordenador , para poder utilizarlo cuando quieras. Hay varias maneras de hacerlo, pero nosotros vamos a intentar...
-
Primero llegó a través de los clientes de Movistar con un deco UHD, pero a partir de hoy, tienen la oportunidad de tener gratis durante 12 ...
-
Si eres un usuario de Windows 10 y tu dispositivo está trabajando lento, entonces, es el antimalware service executable que tiene un consum...
Ransomware en Servidores ESXi: Amenazas, Vulnerabilidades y Estrategias de Mitigación
En la actualidad, las variantes del ransomware Babuk están dirigiéndose específicamente a servidores ESXi, evolucionando para evadir las herramientas de seguridad más avanzadas. Estas amenazas se intensifican debido a la creciente disponibilidad de accesos iniciales en mercados clandestinos, donde ciberdelincuentes monetizan vulnerabilidades vendiendo acceso a actores malintencionados, incluidos grupos especializados en ransomware.
Ante este panorama, las organizaciones enfrentan un frente de ataque cada vez más amplio, compuesto por nuevas vulnerabilidades, puntos de entrada diversificados y redes de ciberdelincuencia altamente organizadas. En este contexto, fortalecer la seguridad de los servidores ESXi es esencial para mitigar riesgos críticos.
Entendiendo la Arquitectura de ESXi
Para comprender cómo un atacante puede comprometer un host ESXi, primero es necesario entender la arquitectura de los entornos virtualizados. Los atacantes suelen enfocarse en el vCenter, el núcleo de administración centralizado de la infraestructura VMware.
El servidor vCenter utiliza la cuenta predeterminada «vpxuser», que posee permisos de root y se emplea para tareas administrativas como mover máquinas virtuales entre hosts y modificar configuraciones críticas. Las contraseñas cifradas de los hosts ESXi conectados se almacenan en una tabla dentro del vCenter, protegidas por una clave secreta. Si un atacante descifra estas credenciales, obtiene control total sobre los hosts ESXi y puede realizar acciones maliciosas, como ejecutar ransomware, modificar configuraciones y establecer persistencia mediante SSH.
Cómo Funciona el Cifrado en Ataques a ESXi
Los ataques de ransomware dirigidos a servidores ESXi tienen como objetivo bloquear operaciones clave mediante el cifrado de archivos esenciales, como:
- Archivos VMDK: Almacenan los discos duros virtuales. Su cifrado deja inoperables las máquinas virtuales.
- Archivos VMEM: Archivos de paginación que, si se eliminan o cifran, causan pérdida de datos.
- Archivos VSWP: Archivos de intercambio que, al ser comprometidos, provocan bloqueos en las máquinas virtuales.
- Archivos VMSN: Instantáneas críticas para la recuperación ante desastres, cuyo cifrado dificulta los procesos de restauración.
Dado el tamaño de estos archivos, los atacantes suelen usar un enfoque híbrido de cifrado:
- Cifrado simétrico: Métodos como AES o Chacha20 permiten cifrar grandes volúmenes de datos rápidamente, reduciendo la oportunidad de detección.
- Cifrado asimétrico: Aunque más lento, asegura las claves de cifrado simétrico, haciendo que solo los atacantes puedan descifrarlas mediante claves privadas.
Este enfoque refuerza la seguridad de los atacantes, complicando la recuperación sin pagar el rescate.
Estrategias Clave para Mitigar Riesgos en ESXi
Para proteger un entorno vCenter y prevenir ataques de ransomware en ESXi, las organizaciones deben implementar medidas proactivas y efectivas:
- Mantener vCenter Actualizado
Utilice siempre la versión más reciente de VMware vCenter Server Appliance (VCSA) y realice actualizaciones periódicas. La migración desde vCenter basado en Windows a VCSA puede mejorar la seguridad, dado que este último está diseñado exclusivamente para administrar vSphere. - Implementar Autenticación Multifactor (MFA)
Reemplace las contraseñas predeterminadas e implemente MFA para cuentas críticas, agregando una capa adicional de protección contra accesos no autorizados. - Monitoreo y Detección Avanzada
Configure herramientas de detección, como EDR y XDR, directamente en su entorno vCenter. Estas herramientas permiten monitorear intentos de acceso sospechosos, actividad inusual en la cuenta «vpxuser» o señales de cifrado de archivos en el sistema. - Segmentación de Redes
Segmente la red de administración de vCenter, separándola de otros segmentos. Esto limita el movimiento lateral de los atacantes y reduce el impacto de posibles compromisos.
La Importancia de las Pruebas Continuas
Proteger los servidores ESXi y el vCenter es crucial, ya que un compromiso puede impactar severamente la continuidad operativa y exponer datos sensibles. La realización de pruebas de seguridad regulares ayuda a identificar vulnerabilidades antes de que sean explotadas.
Colabore con expertos en ciberseguridad para desarrollar una estrategia integral de gestión de la exposición a amenazas (CTEM), personalizada para su infraestructura. Este enfoque garantizará una mejora constante de las defensas y la capacidad de respuesta ante las amenazas emergentes.
En conclusión
La evolución de las amenazas de ransomware contra servidores ESXi subraya la necesidad de adoptar una postura de seguridad sólida. Mantener los sistemas actualizados, implementar medidas de autenticación avanzadas, y realizar pruebas continuas son acciones clave para mitigar riesgos. Proteger el vCenter es proteger el corazón de su infraestructura virtual y, en última instancia, la continuidad operativa de su organización.
Fuentes:
https://thehackernews.com/2025/01/ransomware-on-esxi-mechanization-of.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.