Investigadores de Huntress señalan un incremento notable de ataques de ransomware contra hypervisors y recomiendan a las empresas reforzar la seguridad y asegurar copias de seguridad adecuadas.
En su publicación, los analistas señalan que la cuota de ransomware que cifra sistemas de hypervisor ha subido de un 3% en la primera mitad del año a un 25% en la segunda mitad hasta ahora.
El principal actor que impulsa esta tendencia es Akira, grupo de ransomware, y advierten que los atacantes apuntan a hypervisors para evadir controles de seguridad en endpoints y en red.
Este cambio subraya una tendencia creciente e incomoda: los atacantes se dirigen a la infraestructura que controla todos los hosts y, con acceso al hypervisor, pueden amplificar el impacto de su intrusión.
Los ataques contra hypervisors siguen un juego conocido. Como hemos visto con ataques a VPN, los threat actors se dan cuenta de que el sistema host a menudo es propietario o restringido, lo que dificulta la instalación de controles como EDR y crea un punto ciego significativo.
En algunos casos, los atacantes despliegan cargas de cifrado directamente a través de hypervisors, evitando protecciones de endpoints tradicionales; en otros, comprometen la red, roban credenciales y apuntan a hypervisors mediante herramientas de gestión de Hyper-V para modificar ajustes de VM y deshabilitar defensas.
Los investigadores señalan que también se han visto casos donde se cifran volúmenes de máquinas virtuales usando herramientas integradas como OpenSSL, evitando la necesidad de cargar binarios de ransomware personalizados.
En su informe recomiendan a los administradores habilitar la autenticación de múltiples factores, usar contraseñas complejas, aplicar parches y adoptar defensas específicas para hypervisor, como permitir únicamente binarios de lista blanca en el host y vigilar los logs.
Además, sugieren que los sistemas de Gestión de Seguridad de la Información y Eventos graben y analicen los registros de hypervisor para detectar comportamientos anómalos y posibles intentos de cifrado de VM a escala.
En resumen, la seguridad en la capa del hypervisor ha dejado de ser una preocupación secundaria: un fallo podría comprometer un host y todo el entorno de nube en el que se alojan las máquinas virtuales, afectando a operaciones a gran escala.
