Los ciberdelincuentes constantemente idean nuevas formas de robar datos valiosos y usarlos en su beneficio. Los datos son enormemente valiosos dentro de los mercados oscuros, y un solo actor malicioso podría ganar millones vendiendo información adquirida ilegalmente. El hipersecuestro es otro método ilícito que se puede utilizar para espiar a las víctimas, controlar dispositivos y robar información valiosa. Entonces, ¿qué es el hipersecuestro y cómo puede mantenerse a salvo de él?
¿Qué es el hiperjacking?
Hyperjacking implica el compromiso y el control no autorizado de una máquina virtual (VM). Entonces, antes de discutir el hiperjacking en detalle, primero debemos entender qué es una máquina virtual.
¿Qué es una máquina virtual?
Una máquina virtual es solo eso: una máquina no física que utiliza software de virtualización en lugar de hardware para funcionar. Aunque las máquinas virtuales deben existir en una pieza de hardware, funcionan con componentes virtuales (como una CPU virtual).
Los hipervisores forman la columna vertebral de las máquinas virtuales
. Estos son programas de software que son responsables de crear, ejecutar y administrar máquinas virtuales. Un único hipervisor puede albergar múltiples máquinas virtuales, o varios sistemas operativos invitados, a la vez, lo que también le da el nombre alternativo de administrador de máquinas virtuales (VMM).Hay dos tipos de hipervisores. El primero se conoce como hipervisor "bare metal" o "nativo", y el segundo es un hipervisor "anfitrión". Lo que debe tener en cuenta es que son los hipervisores de las máquinas virtuales los objetivos de los ataques de hiperjacking (de ahí el término "hyper-jacking").
Los orígenes del hiperjacking
A mediados de la década de 2000, los investigadores descubrieron que el hipersecuestro era una posibilidad. En ese momento, los ataques de hyperjacking eran completamente teóricos, pero la amenaza de que se llevara a cabo siempre estuvo presente. A medida que avanza la tecnología y los ciberdelincuentes se vuelven más ingeniosos, el riesgo de ataques de hipersecuestro aumenta cada año.
De hecho, en septiembre de 2022 comenzaron a surgir advertencias de ataques reales de hyperjacking. Ambos Advertencias publicadas de Mandiant y VMWare afirmando que encontraron actores maliciosos que usaban malware para realizar ataques de hiperjacking en la naturaleza a través de una versión dañina del software VMWare. En esta empresa, los actores de amenazas insertaron su propio código malicioso dentro de los hipervisores de las víctimas mientras eludían las medidas de seguridad de los dispositivos de destino (similar a un rootkit).
A través de este exploit, los piratas informáticos en cuestión pudieron ejecutar comandos en los dispositivos host de las máquinas virtuales sin ser detectados.
¿Cómo funciona un ataque de Hyperjacking?
Los hipervisores son el objetivo clave de los ataques de hiperjacking. En un ataque típico, el hipervisor original será reemplazado a través de la instalación de un hipervisor malicioso y malicioso que el actor de la amenaza tiene bajo control. Al instalar un hipervisor falso debajo del original, el atacante puede obtener el control del hipervisor legítimo y explotar la máquina virtual.
Al tener control sobre el hipervisor de una máquina virtual, el atacante puede, a su vez, obtener el control de todo el servidor de VM. Esto significa que pueden manipular cualquier cosa en la máquina virtual. En el ataque de hipersecuestro mencionado anteriormente anunciado en septiembre de 2022, se descubrió que los piratas informáticos estaban usando el hipersecuestro para espiar a las víctimas.
En comparación con otras tácticas de ciberdelincuencia muy populares, como el phishing y el ransomware, el hyperjacking no es muy común en este momento. Pero con el primer uso confirmado de este método, es importante que sepa cómo mantener seguros sus dispositivos y sus datos.
Cómo evitar el hiperjacking
Desafortunadamente, se ha descubierto que el hyperjacking evade ciertas medidas de seguridad presentes en su dispositivo. Pero esto no significa que no deba seguir empleando altos niveles de protección para reducir la posibilidad de que un atacante se dirija a su hipervisor.
Por supuesto, siempre debe asegurarse de que su máquina virtual esté bien equipada con varias capas de seguridad. Por ejemplo, podría aislar cada una de sus máquinas virtuales usando un cortafuegosy asegúrese de que su dispositivo host tenga la protección antivirus adecuada.
También debe asegurarse de que su hipervisor se parchee regularmente para que los actores malintencionados no puedan explotar errores y vulnerabilidades dentro del software. Esta es una de las formas más comunes a través de las cuales los ciberdelincuentes llevan a cabo ataques y, a veces, pueden causar mucho daño antes de que el proveedor de software se dé cuenta de la falla de seguridad.
También debe limitar los dispositivos a los que su máquina virtual tiene acceso. Cuando un atacante obtiene el control de una máquina virtual, puede usarla para acceder a otro hardware, como el dispositivo host. Trate de no vincular su máquina virtual a dispositivos innecesarios para evitar que un atacante la explote aún más si se ve comprometida.
Hyperjacking puede convertirse en un problema importante en un futuro próximo
Aunque el hyperjacking parece relativamente nuevo como táctica practicada de ciberdelincuencia, es muy probable que su la prevalencia comenzará a crecer entre los grupos de piratas informáticos que buscan explotar máquinas, espiar a las víctimas y robar datos. Por lo tanto, si tiene una o más máquinas virtuales, asegúrese de protegerlas tanto como sea posible para evitar ser víctima de un ataque de hiperjacking.