Introducción al problema del ransomware que ha afectado a servidores dedicados en OVH

Desde el pasado 3 de Febrero de 2023, se han reportado múltiples ataques a hosts que utilizan ESXi, un software de virtualización de VMware, concretamente en su versión 7.0 U3i o inferiores. 

Este ataque ha resultado en la pérdida de información valiosa para muchos usuarios y/o empresas. El vector de ataque utilizado en este caso ha sido una vulnerabilidad en la plataforma ESXi, que ha permitido a los atacantes acceder y encriptar los archivos alojados en los sistemas virtualizados.

Proveedores como OVH, SoYouStart o similares han sido los objetivos principales de este ciberataque. Éstos ya han comenzado a alertar a todos los usuarios afectados y a bloquear los puertos de forma automática en aquellos servidores que puedan ser afectados por este mismo ataque.

Para aquellos que han sido afectados por este ataque, puede ser un momento difícil y estresante tratar de recuperar sus datos. Sin embargo, en este artículo trataremos de recuperar los datos mediante un script publicado por la CISA (Departamento de Seguridad Nacional de los estados Unidos) que puede suponer una esperanza para todos los afectados por este ataque.

Además, aportaremos indicaciones para protegerse ante este ataque en concreto, ya que es posible que debido a limitaciones a nivel de hardware en los servidores, no sea posible actualizar a versiones actualizadas que disponen de un parche para esta vulnerabilidad.

Vector de ataque utilizado para atacar con este ransomware

Según los informes publicados por OVH, todo apunta a que los atacantes han utilizado la CVE-2021-21974 como vector de compromiso. Esta vulnerabilidad afecta al servicio OpenSLP.

Este protocolo se encarga de permitir a las aplicaciones de red descubrir la existencia, ubicación y parámetros de configuración de el resto de servicios de red.

La vulnerabilidad, de tipo “Heap Overflow”, permite a los atacantes ejecutar código arbitrario de forma remota en los servidores con versiones de ESXi inferiores a la 7.0 U3i haciendo uso del puerto 427.

En este caso concreto, los atacantes parecen haber aprovechado esta posibilidad de ejecutar código de forma remota para propagar un ransomware de forma masiva. Éste Malware parece guardar cierta relación con otro Ransomware filtrado en Septiembre de 2021, que hacía uso del cifrado “Sosemanuk”.

Este tipo de malware cifra los archivos de la víctima y exige un rescate a cambio de la clave para descifrar los datos. Los atacantes utilizan esta técnica para asegurarse de que la víctima no tenga otras opciones para recuperar sus datos y esté obligada a pagar el rescate.

Muchos se han encontrado durante estos últimos días con el siguiente mensaje al tratar de acceder a la interfaz web de ESXi:

Desde Seven Ice, no recomendamos pagar el rescate solicitado, ya que es importante tener en cuenta que esto podría fomentar la continuación de este tipo de ataques contra la entidad y en ningún caso garantiza la recuperación de los archivos afectados. En estos casos, es mejor tratar de buscar alternativas y soluciones a largo plazo para prevenir sufrir futuros ataques.

Protege tu servidor ante este ataque de ransomware, o ataques similares

Es posible que tu servidor no haya sido comprometido todavía y que tu compañía ya haya ejecutado determinadas acciones para evitar el acceso a tus servidores.

Sin embargo, en caso de que no sea así o vayas a realizar el procedimiento de recuperación, es necesario deshabilitar los servicios comprometidos y filtrar mediante Firewall el acceso a la administración del servidor.

Para ello, recomendamos las siguientes acciones:

1. Crea una regla en el Firewall que impida acceder al panel de administración vía web y al protoclo SSH. Permite solo la conexión desde la IP que vayas a utilizar para realizar la gestión.
2. Modifica las contraseñas de acceso al servidor.
3. Desactiva el servicio OpenSLP, conectándote mediante SSH al servidor: 
   • /etc/init.d/slpd stop
     esxcli system slp stats get
     esxcli network firewall ruleset set -r CIMSLP -e 0
     chkconfig slpd off
4. Reinicia el servidor mediante el comando: “reboot”

Con estos pasos, habrás deshabilitado con éxito el servicio OpenSLP. Es posible que necesites de ese servicio por alguna razón dentro de tu infraestructura. En ese caso, en lugar de desactivar el servicio, recomendamos configurar reglas estrictas en el Firewall que permitan la conexión únicamente de nodos de confianza.

“ESXiArgs Recover”: La esperanza para los hosts afectados por el ransomware en OVH

Debido a la magnitud del ataque, es posible que si estás leyendo esto, es posible que alguno de los servidores que administras haya sido afectado.

Como empresa de seguridad informática, desde nuestra posición en Seven Ice, consideramos adecuado divulgar posibles soluciones y medidas de seguridad que puedan ayudar a todos los afectados.

En este caso, la CISA ha publicado en su perfil de GitHub un script con documentación detallada sobre cómo usarlo que podría recuperar los ficheros encriptados de las máquinas afectadas.

Esto es posible ya que se ha descubierto que la encriptación no afecta a la totalidad de los archivos, sino que solamente lo hace a una pequeña cantidad de datos dentro de éstos.

Nuestro equipo ha comprobado la efectividad de este script en varios hosts afectados, por lo que hemos decidido incluir en este artículo las indicaciones para utilizar el script junto con nuestras recomendaciones a la hora de hacerlo.

Como ejemplo, utilizaremos durante el proceso un host ESXi afectado, de tal forma que podremos demostrar la efectividad del script con un caso real.

Laboratorio: Utilizando el script ESXIArgs Recover para recuperar los hosts afectados por el Ransomware

Consideraciones y recomendaciones previas.

Antes de utilizar el script, recomendamos realizar una copia de los datos afectados. Esto es debido a que el script podría no funcionar y corromper aún más los ficheros. 

Si no se siente cómodo con la ejecución de scripts, o tareas similares, recomendamos buscar asesoramiento de un profesional o experto en seguridad informática. En Seven Ice, podemos ayudarte con este proceso de recuperación en caso de que tus servidores hayan sido comprometidos.

Guía: Lanzando el script.

Como podemos observar, nuestro host no es capaz de reconocer ninguna de las máquinas registradas en él debido a la encriptación de sus ficheros:

Comenzaremos conectándonos mediante SSH al servidor afectado, los atacantes indican que el servicio SSH ha sido activado por lo que, no deberías tener problemas para conectarte con tus credenciales de acceso. Nos encontraremos con un mensaje como el siguiente:

Una vez conectados, procedemos a descargar el script y guardarlo en una ubicación temporal para ejecutarlo desde cualquier ruta del sistema. En este caso, se almacena en la carpeta /tmp/: 

wget -O /tmp/recover.sh https://raw.githubusercontent.com/cisagov/ESXiArgs-Recover/main/recover.sh

Es posible que, dependiendo de la configuración y versión del sistema, recibas un error como este:

En ese caso, te recomendamos subir el script directamente desde tu equipo haciendo uso de scp. Guardamos el script en un fichero “recover.sh” y lo subimos al servidor: 

scp recover.sh root@ip-del-servidor:/tmp/

Para poder ejecutarlo, otorgamos al fichero permisos de ejecución: 

chmod +x /tmp/recover.sh

A continuación, navegaremos a la carpeta que contenga los ficheros de la máquina virtual que queremos tratar de recuperar. Podrás encontrar los volúmenes de tu servidor ESXi en la ruta /vmfs/volumes.

En nuestro caso, el volumen se llama nsXXXXX-ds1, si accedemos al directorio mediante el comando cd, podremos listar a continuación las diferentes carpetas que contienen los ficheros esenciales de las máquinas virtuales.

Como ejemplo, utilizaremos una máquina que se llama “vps_centos-05”. Por lo que accederemos a ella:

cd vps_centos-05
ls 

Dentro, podremos observar una estructura de ficheros similar a la siguiente:

Para tratar de desencriptar la máquina, haremos uso del script pasándole como argumento el nombre de la máquina virtual (no el del fichero .vmdk).

Aquí podemos encontrarnos con dos variantes, en caso de que el disco que configuraste para la máquina virtual no sea de tipo “Thin”, deberás ejecutar el comando sólamente indicando el nombre de la máquina: 

/tmp/recover.sh nombre-de-la-máquina

En caso de que el disco sea de tipo “Thin”, añadiremos el parámetro thin después del nombre de la máquina: 

/tmp/recover.sh nombre-de-la-máquina thin

En unos pocos segundos, deberíamos de poder saber si ha funcionado o no, en caso afirmativo recibiremos un mensaje similar al siguiente:

Parece que el script no ha tenido problemas en ejecutarse, ahora es momento de comprobarlo en nuestro ESXi.

Es posible que tengas problemas para acceder a la interfaz web ya que verás un mensaje de texto indicando cómo recuperar tus datos pagando una recompensa.

Para solucionarlo, en algunos casos ha bastado con reiniciar el equipo, pero recomendamos primero mover el fichero HTML fraudulento y volver a colocar el fichero original del sistema ESXi: 

cd /usr/lib/vmware/hostd/docroot/ui/ && mv index.html ransom.html && mv index1.html index.html
cd /usr/lib/vmware/hostd/docroot && mv index.html ransom.html && rm index.html & mv index1.html index.html

Es importante recalcar que estos comandos mantendrán el fichero HTML malicioso con otro nombre, “ransom.html”. Se recomienda mantener este fichero para futuras investigaciones o documentación sobre el ataque recibido.

Una vez ejecutados los comandos, usaremos “reboot” para reiniciar la máquina y pasaremos a acceder mediante la interfaz web. 

Lo más normal es que tras haber restaurado los ficheros, la máquina desaparezca de la lista de máquinas virtuales. En caso de que identifiques la máquina registrada todavía, haz click derecho sobre ella y “Cancelar el registro”.

En nuestro caso, la máquina se ha recuperado de forma satisfactoria, y podemos volver a acceder a ella de forma completamente normal:

Es importante indicar que nos hemos encontrado casos en los que el script no ha funcionado. Por ello, recomendamos hacer una copia de todos los ficheros previa a la ejecución del script.

Conclusiones sobre el ataque de ransomware a OVH y la resolución del mismo

Cuando ocurren este tipo de ataques, nos damos cuenta de hasta qué punto nuestra información se encuentra expuesta a la manipulación por parte de atacantes, y lo importante que es estar al tanto del mundo de la ciberseguridad para poder mantener una gestión correcta de la seguridad en las empresas.

Son momentos para reflexionar si las políticas de seguridad, planes de contingencia y/o planes de recuperación que se están aplicando en tu empresa son realmente adecuados y efectivos ante este tipo de situaciones.

Afortunadamente, no siempre está todo perdido y es posible que existan determinadas soluciones para recuperar todos o algunos de los datos perdidos. Sin embargo, esta situación no se da siempre, pudiendo darse el caso de perder por completo todos los datos y servicios en caso de no disponer de sistemas de las políticas de seguridad y recuperación adecuadas.

Esperamos que este artículo te haya sido de ayuda, desde Seven Ice, recomendamos implantar políticas de seguridad en la empresa que permitan gestionar la información y los servicios críticos de forma segura y respaldada.

Los ciberataques se encuentran entre uno de los peligros más significativos que enfrentan las personas, organizaciones y países de hoy en día. Pero, ¿qué es un ciberataque exactamente? ¿Cómo se puede identificar un ataque de ciberseguridad y protegerse? Para responder preguntas como estas, HBO presenta el documental Protección ante ciberataques: «El arma perfecta», una investigación que trata el tema desde diferentes perspectivas.

Este documental de HBO muestra la complejidad de la amenaza de ciberseguridad, al mismo tiempo que profundiza en la forma en que los gobiernos y las empresas tratan de enfrentarla. Además, el documental explora cómo el ciberespacio puede ser un lugar oscuro, donde se esconden personas que intentan robar, chantajear, infiltrarse o manejar cada vez mas la vida cotidiana.

En este artículo, discutiremos los temas principales de Protección ante ciberataques: «El arma perfecta» y explicaremos toda la información que necesitan saber para entender mejor el peligro de los ciberataques. También revisaremos las principales medidas de seguridad que las personas, las organizaciones y los gobiernos deben tomar para prevenir y reducir el riesgo de un ataque exitoso.

Historia de los ciberataques: causas, consecuencias y evolución

Los ciberataques han estado presentes durante las últimas dos décadas, y han evolucionado para tener una mayor capacidad y alcance. Estos ataques son el resultado de muchos años de investigación, desarrollo y pruebas de ciberseguridad, y tienen consecuencias importantes para todos los niveles de la sociedad.

Los ciberataques suelen tener un propósito muy específico y están dirigidos por actores con suficientes recursos para seleccionar y ejecutar el ataque correcto. Algunas de las principales razones por las que se produce y sigue produciendo esta actividad, son la seguridad industrial, el robo de información comercial, la destrucción de activos, la perturbación económica, el ciberespionaje y la propaganda a gran escala.

Cada ataque tiene sus propias consecuencias, que van desde el robo de datos, el daño a la infraestructura, el coste de la reparación, los efectos emocionales, la violación de la privacidad, o la pérdida de oportunidades comerciales. Estas consecuencias toman formas diferentes en el mundo real. Por ejemplo, un ataque de robo de información comercial puede acabar con grandes sumas de dinero pagadas para reparar los daños causados.

Con el paso del tiempo, los ciberataques han ido evolucionando para poder abarcar una mayor cantidad de áreas. Se han desarrollado herramientas para el malware, la espionaje informático, la interrupción de servicios informáticos y la destrucción de datos. Estas herramientas permiten a los cyberguerrilleros atacar sistemas críticos y también permiten a los cibercriminales defraudar a la gente o robar sus datos.

Las nuevas tecnologías y la proliferación de internet han aumentado el riesgo de estos ciberataques, pero también han permitido a los usuarios la posibilidad de estar mejor protegidos. Esto significa que es más importante que nunca hacer un gran esfuerzo para mantener protegidos los dispositivos, los datos y las redes

Introducción a las tecnologías modernas para la prevención de ciberataques

En los últimos años, el ataque de la cuarta Quinta Revolución Tecnológica ha provocado el vertiginoso desarrollo de tecnologías modernas que han transformado el escenario de la seguridad informática. Las ciberamenazas se han generalizado y multiplicado enormemente, demandando la adopción de soluciones robustas tanto para empresas como para usuarios finales. El documental de HBO “El arma perfecta”, realizado por John Maggio, examina diversos ataques de ciberseguridad sufridos en los últimos años para exponer la vulnerabilidad de la infraestructura de la nación.

Es decisivo contar con una seguridad adecuada para proteger la información y asegurarnos que las amenazas externas no puedan comprometer nuestras redes. Por ello, es importante conocer diferentes soluciones innovadoras basadas en análisis de datos, métodos de seguridad, criptografía, y tecnologías de ciberseguridad más avanzadas que nos permitan mantener a salvo nuestros sistemas.

Análisis de datos

Los análisis de datos se han convertido en un instrumento imprescindible para la prevención de ciberataques. Estas técnicas permiten extraer información potencialmente valiosa y configurar estrategias en función a los resultados obtenidos. Esto puede abarcar desde la creación de mecanismos de seguridad adaptativa que se ajusten dinámicamente para proteger los sistemas de ataques específicos hasta la monitorización predictiva para presagiar posibles arremetidas por parte de los cibercriminales.

Los análisis de datos también suponen una gran eficacia a la hora de gestionar la seguridad del sistema. Se trata de una forma de identificar perfiles anómalos de comportamiento para detectar posibles tentativas de intrusión. Por último, es importante señalar el papel crucial que juegan los sistemas de inteligencia artificial en el tratamiento de los datos, tanto para la detección de amenazas como para la mejora continua de la seguridad.Responsabilidad de los gobiernos frente a los ciberataques

La responsabilidad de los gobiernos en lo que se refiere a los ciberataques es fundamental. En el documental de HBO «El Arma Perfecta» se pone de manifiesto cómo los ciberataques son llevado a cabo por grandes actores controlados por los gobiernos. Esto plantea la necesidad de tener políticas y medidas destinadas a combatir el cibercrimen, evitando así la vulnerabilidad de los sistemas informáticos a ataques cibernéticos. Una de las principales iniciativas de seguridad informática es la aplicación de normas y estándares nacionales para mejorar la seguridad de los sistemas. Esto es especialmente importante en entornos industriales críticos, donde los ciberataques pueden tener un gran impacto.

Los gobiernos también tienen el deber de velar por el cumplimiento de sus regulaciones en materia de seguridad, lo que implica proporcionar soluciones y herramientas adecuadas para la protección de los sistemas, además de la adaptación de políticas de divulgación de información en caso de ataques.

Efectos en el mundo digital

Los efectos de los ciberataques se extienden por el territorio digital. Es por esto que el documental «El Arma Perfecta» destaca la importancia de contar con una cantidad suficiente de tecnología y personal adecuado para prevenir y combatir estas amenazas. Los ciberataques tienen consecuencias profundas para los individuos, las organizaciones y la sociedad en general. La interrupción de un servicio, la manipulación de información o la destrucción de bases de datos pueden dañar la imagen de marca, el crecimiento emprendedor, la salud mental o la privacidad de los usuarios.

Los efectos en ecta dimensión de seguridad cibernética, también afectan al potencial económico. Las vulnerabilidades en torno a la seguridad cibernética son observebles de forma mundial a lo largo de la pandemia del covid-19. Recordemos por ejemplo el ciberespionaje llevado a cabo en plena pandemia por parte de hacker rusos, a través del uso de

Conclusiones

El documental de HBO “El arma perfecta” nos ha suministrado información clave sobre el impacto de los ciberataques en los últimos años, mostrando que nadie está libre de ser atacado. Los expertos en seguridad han anticipado que esta tendencia vaya a continuar y aumentar el riesgo de sufrir un ciberataque en el futuro. Para evitar ser víctimas de los ciberdelincuentes, es vital contar con una sólida infraestructura de seguridad y tomar medidas preventivas como actualizar el software, establecer políticas de contraseñas seguras y formar a los empleados.

Sin embargo, los avances en seguridad también están permitiendo que los ciberdelincuentes sean más agresivos en el uso de tácticas cada vez más sofisticadas para el ciberespionaje, ciberguerra, perturbación económica y propaganda. Esto hace que esté aún más importante contar con una plataforma de seguridad sólida que pueda resistir los intentos de intrusiones de los piratas informáticos.

En resumen, los temidos ciberataques están aquí para quedarse. La guerra informática es real y para evitar ser vícitma, necesitamos fortalecer nuestras defensas. Esto significa tener una infraestructura de seguridad de última generación, implementar políticas de seguridad acertadas y formar a nuestros empleados. De esta manera, tendremos la mejor protección para hacer frente a los retos que nos deparará el futuro.