Introducción al problema del ransomware que ha afectado a servidores dedicados en OVH

Desde el pasado 3 de Febrero de 2023, se han reportado múltiples ataques a hosts que utilizan ESXi, un software de virtualización de VMware, concretamente en su versión 7.0 U3i o inferiores. 

Este ataque ha resultado en la pérdida de información valiosa para muchos usuarios y/o empresas. El vector de ataque utilizado en este caso ha sido una vulnerabilidad en la plataforma ESXi, que ha permitido a los atacantes acceder y encriptar los archivos alojados en los sistemas virtualizados.

Proveedores como OVH, SoYouStart o similares han sido los objetivos principales de este ciberataque. Éstos ya han comenzado a alertar a todos los usuarios afectados y a bloquear los puertos de forma automática en aquellos servidores que puedan ser afectados por este mismo ataque.

Para aquellos que han sido afectados por este ataque, puede ser un momento difícil y estresante tratar de recuperar sus datos. Sin embargo, en este artículo trataremos de recuperar los datos mediante un script publicado por la CISA (Departamento de Seguridad Nacional de los estados Unidos) que puede suponer una esperanza para todos los afectados por este ataque.

Además, aportaremos indicaciones para protegerse ante este ataque en concreto, ya que es posible que debido a limitaciones a nivel de hardware en los servidores, no sea posible actualizar a versiones actualizadas que disponen de un parche para esta vulnerabilidad.

Vector de ataque utilizado para atacar con este ransomware

Según los informes publicados por OVH, todo apunta a que los atacantes han utilizado la CVE-2021-21974 como vector de compromiso. Esta vulnerabilidad afecta al servicio OpenSLP.

Este protocolo se encarga de permitir a las aplicaciones de red descubrir la existencia, ubicación y parámetros de configuración de el resto de servicios de red.

La vulnerabilidad, de tipo “Heap Overflow”, permite a los atacantes ejecutar código arbitrario de forma remota en los servidores con versiones de ESXi inferiores a la 7.0 U3i haciendo uso del puerto 427.

En este caso concreto, los atacantes parecen haber aprovechado esta posibilidad de ejecutar código de forma remota para propagar un ransomware de forma masiva. Éste Malware parece guardar cierta relación con otro Ransomware filtrado en Septiembre de 2021, que hacía uso del cifrado “Sosemanuk”.

Este tipo de malware cifra los archivos de la víctima y exige un rescate a cambio de la clave para descifrar los datos. Los atacantes utilizan esta técnica para asegurarse de que la víctima no tenga otras opciones para recuperar sus datos y esté obligada a pagar el rescate.

Muchos se han encontrado durante estos últimos días con el siguiente mensaje al tratar de acceder a la interfaz web de ESXi:

Desde Seven Ice, no recomendamos pagar el rescate solicitado, ya que es importante tener en cuenta que esto podría fomentar la continuación de este tipo de ataques contra la entidad y en ningún caso garantiza la recuperación de los archivos afectados. En estos casos, es mejor tratar de buscar alternativas y soluciones a largo plazo para prevenir sufrir futuros ataques.

Protege tu servidor ante este ataque de ransomware, o ataques similares

Es posible que tu servidor no haya sido comprometido todavía y que tu compañía ya haya ejecutado determinadas acciones para evitar el acceso a tus servidores.

Sin embargo, en caso de que no sea así o vayas a realizar el procedimiento de recuperación, es necesario deshabilitar los servicios comprometidos y filtrar mediante Firewall el acceso a la administración del servidor.

Para ello, recomendamos las siguientes acciones:

1. Crea una regla en el Firewall que impida acceder al panel de administración vía web y al protoclo SSH. Permite solo la conexión desde la IP que vayas a utilizar para realizar la gestión.
2. Modifica las contraseñas de acceso al servidor.
3. Desactiva el servicio OpenSLP, conectándote mediante SSH al servidor: 
   • /etc/init.d/slpd stop
     esxcli system slp stats get
     esxcli network firewall ruleset set -r CIMSLP -e 0
     chkconfig slpd off
4. Reinicia el servidor mediante el comando: “reboot”

Con estos pasos, habrás deshabilitado con éxito el servicio OpenSLP. Es posible que necesites de ese servicio por alguna razón dentro de tu infraestructura. En ese caso, en lugar de desactivar el servicio, recomendamos configurar reglas estrictas en el Firewall que permitan la conexión únicamente de nodos de confianza.

“ESXiArgs Recover”: La esperanza para los hosts afectados por el ransomware en OVH

Debido a la magnitud del ataque, es posible que si estás leyendo esto, es posible que alguno de los servidores que administras haya sido afectado.

Como empresa de seguridad informática, desde nuestra posición en Seven Ice, consideramos adecuado divulgar posibles soluciones y medidas de seguridad que puedan ayudar a todos los afectados.

En este caso, la CISA ha publicado en su perfil de GitHub un script con documentación detallada sobre cómo usarlo que podría recuperar los ficheros encriptados de las máquinas afectadas.

Esto es posible ya que se ha descubierto que la encriptación no afecta a la totalidad de los archivos, sino que solamente lo hace a una pequeña cantidad de datos dentro de éstos.

Nuestro equipo ha comprobado la efectividad de este script en varios hosts afectados, por lo que hemos decidido incluir en este artículo las indicaciones para utilizar el script junto con nuestras recomendaciones a la hora de hacerlo.

Como ejemplo, utilizaremos durante el proceso un host ESXi afectado, de tal forma que podremos demostrar la efectividad del script con un caso real.

Laboratorio: Utilizando el script ESXIArgs Recover para recuperar los hosts afectados por el Ransomware

Consideraciones y recomendaciones previas.

Antes de utilizar el script, recomendamos realizar una copia de los datos afectados. Esto es debido a que el script podría no funcionar y corromper aún más los ficheros. 

Si no se siente cómodo con la ejecución de scripts, o tareas similares, recomendamos buscar asesoramiento de un profesional o experto en seguridad informática. En Seven Ice, podemos ayudarte con este proceso de recuperación en caso de que tus servidores hayan sido comprometidos.

Guía: Lanzando el script.

Como podemos observar, nuestro host no es capaz de reconocer ninguna de las máquinas registradas en él debido a la encriptación de sus ficheros:

Comenzaremos conectándonos mediante SSH al servidor afectado, los atacantes indican que el servicio SSH ha sido activado por lo que, no deberías tener problemas para conectarte con tus credenciales de acceso. Nos encontraremos con un mensaje como el siguiente:

Una vez conectados, procedemos a descargar el script y guardarlo en una ubicación temporal para ejecutarlo desde cualquier ruta del sistema. En este caso, se almacena en la carpeta /tmp/: 

wget -O /tmp/recover.sh https://raw.githubusercontent.com/cisagov/ESXiArgs-Recover/main/recover.sh

Es posible que, dependiendo de la configuración y versión del sistema, recibas un error como este:

En ese caso, te recomendamos subir el script directamente desde tu equipo haciendo uso de scp. Guardamos el script en un fichero “recover.sh” y lo subimos al servidor: 

scp recover.sh root@ip-del-servidor:/tmp/

Para poder ejecutarlo, otorgamos al fichero permisos de ejecución: 

chmod +x /tmp/recover.sh

A continuación, navegaremos a la carpeta que contenga los ficheros de la máquina virtual que queremos tratar de recuperar. Podrás encontrar los volúmenes de tu servidor ESXi en la ruta /vmfs/volumes.

En nuestro caso, el volumen se llama nsXXXXX-ds1, si accedemos al directorio mediante el comando cd, podremos listar a continuación las diferentes carpetas que contienen los ficheros esenciales de las máquinas virtuales.

Como ejemplo, utilizaremos una máquina que se llama “vps_centos-05”. Por lo que accederemos a ella:

cd vps_centos-05
ls 

Dentro, podremos observar una estructura de ficheros similar a la siguiente:

Para tratar de desencriptar la máquina, haremos uso del script pasándole como argumento el nombre de la máquina virtual (no el del fichero .vmdk).

Aquí podemos encontrarnos con dos variantes, en caso de que el disco que configuraste para la máquina virtual no sea de tipo “Thin”, deberás ejecutar el comando sólamente indicando el nombre de la máquina: 

/tmp/recover.sh nombre-de-la-máquina

En caso de que el disco sea de tipo “Thin”, añadiremos el parámetro thin después del nombre de la máquina: 

/tmp/recover.sh nombre-de-la-máquina thin

En unos pocos segundos, deberíamos de poder saber si ha funcionado o no, en caso afirmativo recibiremos un mensaje similar al siguiente:

Parece que el script no ha tenido problemas en ejecutarse, ahora es momento de comprobarlo en nuestro ESXi.

Es posible que tengas problemas para acceder a la interfaz web ya que verás un mensaje de texto indicando cómo recuperar tus datos pagando una recompensa.

Para solucionarlo, en algunos casos ha bastado con reiniciar el equipo, pero recomendamos primero mover el fichero HTML fraudulento y volver a colocar el fichero original del sistema ESXi: 

cd /usr/lib/vmware/hostd/docroot/ui/ && mv index.html ransom.html && mv index1.html index.html
cd /usr/lib/vmware/hostd/docroot && mv index.html ransom.html && rm index.html & mv index1.html index.html

Es importante recalcar que estos comandos mantendrán el fichero HTML malicioso con otro nombre, “ransom.html”. Se recomienda mantener este fichero para futuras investigaciones o documentación sobre el ataque recibido.

Una vez ejecutados los comandos, usaremos “reboot” para reiniciar la máquina y pasaremos a acceder mediante la interfaz web. 

Lo más normal es que tras haber restaurado los ficheros, la máquina desaparezca de la lista de máquinas virtuales. En caso de que identifiques la máquina registrada todavía, haz click derecho sobre ella y “Cancelar el registro”.

En nuestro caso, la máquina se ha recuperado de forma satisfactoria, y podemos volver a acceder a ella de forma completamente normal:

Es importante indicar que nos hemos encontrado casos en los que el script no ha funcionado. Por ello, recomendamos hacer una copia de todos los ficheros previa a la ejecución del script.

Conclusiones sobre el ataque de ransomware a OVH y la resolución del mismo

Cuando ocurren este tipo de ataques, nos damos cuenta de hasta qué punto nuestra información se encuentra expuesta a la manipulación por parte de atacantes, y lo importante que es estar al tanto del mundo de la ciberseguridad para poder mantener una gestión correcta de la seguridad en las empresas.

Son momentos para reflexionar si las políticas de seguridad, planes de contingencia y/o planes de recuperación que se están aplicando en tu empresa son realmente adecuados y efectivos ante este tipo de situaciones.

Afortunadamente, no siempre está todo perdido y es posible que existan determinadas soluciones para recuperar todos o algunos de los datos perdidos. Sin embargo, esta situación no se da siempre, pudiendo darse el caso de perder por completo todos los datos y servicios en caso de no disponer de sistemas de las políticas de seguridad y recuperación adecuadas.

Esperamos que este artículo te haya sido de ayuda, desde Seven Ice, recomendamos implantar políticas de seguridad en la empresa que permitan gestionar la información y los servicios críticos de forma segura y respaldada.