Uma nova operação de ransomware-as-service (RaaS) chamada MichaelKors se tornou o mais recente malware de criptografia de arquivos a mirar em sistemas Linux e VMware ESXi a partir de abril de 2023.
O desenvolvimento aponta para atores cibercriminosos cada vez mais olhando para o ESXi, disse a empresa de cibersegurança CrowdStrike em um relatório compartilhado com o The Hacker News.
"Essa tendência é especialmente notável dado o fato de que o ESXi, por design, não suporta agentes de terceiros ou software antivírus", disse a empresa.
"Na verdade, a VMware vai tão longe a ponto de afirmar que isso não é necessário.
Isso, combinado com a popularidade do ESXi como um sistema de virtualização e gerenciamento amplamente utilizado, torna o hipervisor um alvo altamente atraente para adversários modernos."
O direcionamento de hipervisores VMware ESXi com ransomware para escalar tais campanhas é uma técnica conhecida como jackpotting de hipervisor.
Ao longo dos anos, a abordagem foi adotada por vários grupos de ransomware, incluindo Royal.
Além disso, uma análise da SentinelOne na semana passada revelou que 10 famílias diferentes de ransomware, incluindo Conti e REvil, utilizaram o código-fonte Babuk vazado em setembro de 2021 para desenvolver armários para hipervisores VMware ESXi.
Outros grupos de crimes eletrônicos notáveis que atualizaram seu arsenal para mirar o ESXi consistem em ALPHV (BlackCat), Black Basta, Defray, ESXiArgs, LockBit, Nevada, Play, Rook e Rorschach.
Parte do motivo pelo qual os hipervisores VMware ESXi estão se tornando um alvo atraente é que o software é executado diretamente em um servidor físico, concedendo a um potencial atacante a capacidade de executar binários ELF maliciosos e obter acesso irrestrito aos recursos subjacentes da máquina.
Atacantes que procuram invadir hipervisores ESXi podem fazê-lo usando credenciais comprometidas, seguidas pela obtenção de privilégios elevados e, em seguida, movendo-se lateralmente pela rede ou escapando dos limites do ambiente por meio de falhas conhecidas para avançar em seus objetivos.
A VMware, em um artigo da base de conhecimento atualizado pela última vez em setembro de 2020, observa que "software antivírus não é necessário com o vSphere Hypervisor e o uso de tal software não é suportado".
" Cada vez mais, os atores de ameaças estão reconhecendo que a falta de ferramentas de segurança, falta de segmentação adequada de rede de interfaces ESXi e vulnerabilidades [encontradas na natureza] para ESXi criam um ambiente rico em alvos", disse a CrowdStrike.
Os atores de ransomware não são os únicos a atacar infraestrutura virtual.
Em março de 2023, a Mandiant, de propriedade do Google, atribuiu a um grupo estatal chinês o uso de backdoors novos denominados VIRTUALPITA e VIRTUALPIE em ataques direcionados a servidores VMware ESXi.
Para mitigar o impacto do jackpotting de hipervisor, as organizações são recomendadas a evitar o acesso direto aos hosts ESXi, habilitar a autenticação em duas etapas, realizar backups periódicos dos volumes de datastore do ESXi, aplicar atualizações de segurança e conduzir avaliações de postura de segurança.
"Os adversários provavelmente continuarão a mirar a infraestrutura de virtualização baseada em VMware", disse a CrowdStrike.
"Isso representa uma grande preocupação, já que mais organizações continuam transferindo cargas de trabalho e infraestrutura para ambientes de nuvem - todos por meio de ambientes do hipervisor VMWare."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...