Una nueva amenaza ha aparecido en el radar de la ciberseguridad bajo el nombre de BrickStorm. Investigadores han detectado una campaña agresiva dirigida específicamente contra entornos corporativos híbridos, atacando tanto sistemas Windows como servidores de virtualización VMware ESXi.
¿Qué hace a BrickStorm tan peligroso?
Tradicionalmente, los virus atacaban computadora por computadora. BrickStorm adopta una estrategia de “caza mayor”. Su objetivo principal es comprometer el servidor ESXi (el software que gestiona las máquinas virtuales).
- Ataque Cruzado: El malware está desarrollado (probablemente en el lenguaje Go/Golang) para ser multiplataforma. Puede ejecutarse tanto en servidores de archivos Windows como en el kernel de Linux que usa ESXi.
- Parálisis Total: Una vez que BrickStorm accede al hipervisor ESXi, no necesita entrar a cada máquina virtual una por una. Simplemente, apaga las máquinas virtuales y cifra los archivos de disco virtual (.vmdk).
- Resultado: En cuestión de minutos, una empresa puede perder docenas de servidores (correo, bases de datos, aplicaciones web) porque el servidor “madre” que los aloja ha sido secuestrado.
El vector de ataque
Los informes indican que BrickStorm busca explotar vulnerabilidades conocidas en servidores no parcheados o utilizar credenciales robadas de administradores para moverse lateralmente desde una red Windows comprometida hacia la red de gestión de VMware.
¿Por qué todos atacan VMware ahora?
Atacar un ESXi es brutalmente eficiente para el cibercrimen.
- Velocidad: En lugar de desplegar ransomware en 50 servidores diferentes (y pelear contra 50 antivirus diferentes), el atacante solo necesita infectar un host ESXi. Al cifrar el almacén de datos (Datastore), secuestra los 50 servidores de golpe.
- Falta de Seguridad: A menudo, los servidores ESXi no tienen antivirus instalado (porque se cree que ralentiza el sistema) y sus herramientas de monitoreo son más limitadas que en Windows. Son “gigantes ciegos”.
El auge de “Golang” en el Malware
El hecho de que BrickStorm (y otros como BlackCat o Akira) usen el lenguaje de programación Go no es casualidad.
- Multiplataforma: Les permite escribir el código una sola vez y compilarlo para Windows, Linux y Mac.
- Difícil de analizar: El código compilado en Go es más difícil de leer para los ingenieros inversos y, a menudo, tiene tasas de detección más bajas en los antivirus tradicionales.
Recomendaciones
- Aísla la Gestión: La interfaz de administración de tus ESXi (vSphere Client / Web UI) nunca debe estar expuesta a internet, ni siquiera a la red general de empleados. Debe estar en una VLAN de gestión exclusiva, accesible solo vía VPN segura y estaciones de trabajo dedicadas (PAW).
- TPM y Secure Boot: Activa el “TPM” y el “Secure Boot” en tus hosts ESXi. Esto ayuda a asegurar que el sistema operativo no haya sido modificado al arrancar.
- No uses las mismas claves: La contraseña de “root” de tus ESXi no debe ser la misma que la del Administrador de Dominio de Windows. Si cae Windows, no dejes que caiga también tu infraestructura virtual.
