Hypervisor Jackpotting: новая техника атаки на VMware ESXi с помощью вымогательского ПО

Специалисты ИБ-компании CrowdStrike обнаружили новый сервис MichaelKors, который с апреля этого года предоставляет вымогательское ПО как услугу (Ransomware-as-a-Service, RaaS) для атак на системы Linux и VMware ESXi.

По данным CrowdStrike, тенденция атак на VMware свидетельствует о том, что киберпреступники все больше сосредоточены на ESXi, которая по умолчанию не поддерживает антивирусное ПО. Более того, VMware даже утверждает, что поддержка антивирусного ПО не требуется. Это, в сочетании с популярностью ESXi делает гипервизор очень привлекательной целью для хакеров.

Злоумышленники используют технику, известную как «Hypervisor Jackpotting», чтобы заражать гипервизоры VMware ESXi с помощью вымогательского ПО и получать доступ к ресурсам физического сервера.

Одна из причин, по которой гипервизоры VMware ESXi становятся привлекательной целью, заключается в том, что ПО работает непосредственно на физическом сервере, предоставляя злоумышленнику возможность запускать вредоносные ELF-файлы и получать доступ к ресурсам машины.

Злоумышленники, желающие взломать гипервизоры ESXi, могут сделать это с помощью скомпрометированных учетных данных, затем получить повышенные привилегии и либо совершать боковое перемещение (Lateral Movement), либо выйти за пределы среды через известные уязвимости для достижения своих целей.

Среди групп вымогателей, которые атакуют ESXi, есть Royal, Conti, REvil, ALPHV (BlackCat), Black Basta, ESXiArgs, LockBit, Play и Rorschach.

Для снижения воздействия атаки Hypervisor Jackpotting организациям рекомендуется избегать прямого доступа к хостам ESXi, включать двухфакторную аутентификацию (2FA), периодически делать резервные копии томов хранилища данных ESXi, применять обновления безопасности и проводить оценки безопасности. CrowdStrike предупреждает, что атаки на инфраструктуру виртуализации на основе VMware будут продолжаться и советует организациям принимать меры по защите своих систем.