O desenvolvimento indica que os criminosos cibernéticos estão cada vez mais de olho no ESXi, disse a empresa de segurança cibernética CrowdStrike em um relatório compartilhado com o The Hacker News.
“Essa tendência é especialmente notável, dado o fato de que o ESXi, por design, não oferece suporte a agentes de terceiros ou software AV”, disse a empresa.
“Na verdade, a VMware chega ao ponto de afirmar que não é necessário. Isso, combinado com a popularidade do ESXi como um sistema de virtualização e gerenciamento difundido e popular, torna o hipervisor um alvo altamente atraente para adversários modernos.”
Cíber segurança
A segmentação de hipervisores VMware ESXi com ransomware para escalar essas campanhas é uma técnica conhecida como hipervisor jackpotting . Ao longo dos anos, a abordagem foi adotada por vários grupos de ransomware, incluindo o Royal.
Além do mais, uma análise do SentinelOne na semana passada revelou que 10 famílias diferentes de ransomware, incluindo Conti e REvil, utilizaram o código-fonte vazado do Babuk em setembro de 2021 para desenvolver armários para hipervisores VMware ESXi.
Outros equipamentos notáveis de e-crime que atualizaram seu arsenal para atingir o ESXi incluem ALPHV (BlackCat), Black Basta, Defray, ESXiArgs, LockBit, Nevada , Play, Rook e Rorschach.
Parte do motivo pelo qual os hipervisores VMware ESXi estão se tornando um alvo atraente é que o software é executado diretamente em um servidor físico, concedendo a um invasor em potencial a capacidade de executar binários ELF maliciosos e obter acesso irrestrito aos recursos subjacentes da máquina.
Os invasores que procuram violar os hipervisores ESXi podem fazê-lo usando credenciais comprometidas, obtendo privilégios elevados e movendo-se lateralmente pela rede ou escapando dos limites do ambiente por meio de falhas conhecidas para avançar seus motivos.
A VMware, em um artigo da base de conhecimento atualizado pela última vez em setembro de 2020, observa que “o software antivírus não é necessário com o vSphere Hypervisor e o uso desse software não é suportado”.
“Cada vez mais agentes de ameaças estão reconhecendo que a falta de ferramentas de segurança, falta de segmentação de rede adequada das interfaces ESXi e vulnerabilidades [in-the-wild] para ESXi criam um ambiente rico em alvos”, disse CrowdStrike.
Os agentes de ransomware estão longe de ser os únicos a atacar a infraestrutura virtual. Em março de 2023, a Mandiant, de propriedade do Google, atribuiu um grupo de estado-nação chinês ao uso de novos backdoors apelidados de VIRTUALPITA e VIRTUALPIE em ataques direcionados a servidores VMware ESXi.
Para mitigar o impacto do hipervisor jackpotting, recomenda-se que as organizações evitem o acesso direto aos hosts ESXi, habilitem a autenticação de dois fatores, façam backups periódicos dos volumes de armazenamento de dados ESXi, apliquem atualizações de segurança e conduzam revisões de postura de segurança.
“Os adversários provavelmente continuarão a visar a infraestrutura de virtualização baseada em VMware”, disse CrowdStrike. “Isso representa uma grande preocupação, pois mais organizações continuam transferindo cargas de trabalho e infraestrutura para ambientes de nuvem – tudo por meio de ambientes VMWare Hypervisor”.
Fonte leia mais: https://thehackernews.com/2023/05/new-michaelkors-ransomware-as-service.html
