Ngày 15 tháng 5 năm 2023Ravie LakshmananLinux / Hypervisor Jackpotting
Hoạt động ransomware-as-service (RaaS) mới có tên MichaelKors đã trở thành phần mềm độc hại mã hóa tệp mới nhất nhắm mục tiêu vào các hệ thống Linux và VMware ESXi kể từ tháng 4 năm 2023.
Sự phát triển chỉ ra rằng các tác nhân tội phạm mạng ngày càng để mắt đến ESXi, công ty an ninh mạng CrowdStrike cho biết trong một báo cáo được chia sẻ với The Hacker News.
“Xu hướng này đặc biệt đáng chú ý vì thực tế là ESXi, theo thiết kế, không hỗ trợ các tác nhân bên thứ ba hoặc phần mềm AV,” công ty cho biết.
“Trên thực tế, VMware còn đi xa hơn khi tuyên bố rằng nó không cần thiết. Điều này, kết hợp với sự phổ biến của ESXi như một hệ thống quản lý và ảo hóa rộng rãi và phổ biến, khiến trình ảo hóa trở thành mục tiêu rất hấp dẫn đối với các đối thủ hiện đại.”
Việc nhắm mục tiêu các trình ảo hóa VMware ESXi bằng ransomware để mở rộng các chiến dịch như vậy là một kỹ thuật được gọi là jackpotting của trình ảo hóa. Trong những năm qua, phương pháp này đã được một số nhóm ransomware áp dụng, bao gồm cả Royal.
Hơn nữa, một phân tích từ SentinelOne vào tuần trước đã tiết lộ rằng 10 dòng ransomware khác nhau, bao gồm cả Conti và REvil, đã sử dụng mã nguồn Babuk bị rò rỉ vào tháng 9 năm 2021 để phát triển tủ khóa cho các trình ảo hóa VMware ESXi.
Các trang phục tội phạm điện tử đáng chú ý khác đã cập nhật kho vũ khí của họ để nhắm mục tiêu vào ESXi bao gồm ALPHV (BlackCat), Black Basta, Defray, ESXiArgs, LockBit, Nevada, Play, Rook và Rorschach.
Một phần lý do tại sao các trình ảo hóa VMware ESXi đang trở thành mục tiêu hấp dẫn là phần mềm này chạy trực tiếp trên máy chủ vật lý, cấp cho kẻ tấn công tiềm năng khả năng chạy các tệp nhị phân ELF độc hại và giành quyền truy cập không bị cản trở đối với các tài nguyên cơ bản của máy.
Những kẻ tấn công tìm cách xâm phạm trình ảo hóa ESXi có thể làm như vậy bằng cách sử dụng thông tin đăng nhập bị xâm phạm, sau đó giành được các đặc quyền nâng cao và sau đó di chuyển qua mạng hoặc thoát khỏi giới hạn của môi trường thông qua các lỗ hổng đã biết để thúc đẩy động cơ của chúng.
VMware, trong một bài viết cơ sở kiến thức được cập nhật lần cuối vào tháng 9 năm 2020, lưu ý rằng “phần mềm diệt vi-rút không bắt buộc với vSphere Hypervisor và việc sử dụng phần mềm đó không được hỗ trợ.”
“Ngày càng có nhiều tác nhân đe dọa nhận ra rằng việc thiếu các công cụ bảo mật, thiếu phân đoạn mạng đầy đủ của các giao diện ESXi và [in-the-wild] các lỗ hổng cho ESXi tạo ra một môi trường phong phú mục tiêu,” CrowdStrike cho biết.
Các diễn viên ransomware là những người duy nhất tấn công cơ sở hạ tầng ảo. Vào tháng 3 năm 2023, Mandiant thuộc sở hữu của Google đã quy kết một nhóm quốc gia Trung Quốc đã sử dụng các cửa hậu mới có tên là VIRTUALPITA và VIRTUALPIE trong các cuộc tấn công nhằm vào máy chủ VMware ESXi.
Để giảm thiểu tác động của giải độc đắc của trình ảo hóa, các tổ chức nên tránh truy cập trực tiếp vào máy chủ ESXi, bật xác thực hai yếu tố, thực hiện sao lưu định kỳ khối lượng kho dữ liệu ESXi, áp dụng các bản cập nhật bảo mật và tiến hành đánh giá trạng thái bảo mật.
CrowdStrike cho biết: “Các đối thủ có thể sẽ tiếp tục nhắm mục tiêu vào cơ sở hạ tầng ảo hóa dựa trên VMware. “Điều này gây ra mối lo ngại lớn khi ngày càng có nhiều tổ chức tiếp tục chuyển khối lượng công việc và cơ sở hạ tầng sang môi trường đám mây – tất cả đều thông qua môi trường VMWare Hypervisor.”
