Контакты
Подписка 2024
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита инфраструктуры и данных от современных угроз
Регистрируйтесь на онлайн-конференцию!

Hypervisor Jackpotting: новая техника атаки на VMware ESXi с помощью вымогательского ПО

17/05/23

ransomware-in-virtual-environment-featured

Специалисты ИБ-компании CrowdStrike обнаружили новый сервис MichaelKors, который с апреля этого года предоставляет вымогательское ПО как услугу (Ransomware-as-a-Service, RaaS) для атак на системы Linux и VMware ESXi.

По данным CrowdStrike, тенденция атак на VMware свидетельствует о том, что киберпреступники все больше сосредоточены на ESXi, которая по умолчанию не поддерживает антивирусное ПО. Более того, VMware даже утверждает, что поддержка антивирусного ПО не требуется. Это, в сочетании с популярностью ESXi делает гипервизор очень привлекательной целью для хакеров, передает Securitylab.

Злоумышленники используют технику, известную как «Hypervisor Jackpotting», чтобы заражать гипервизоры VMware ESXi с помощью вымогательского ПО и получать доступ к ресурсам физического сервера.

Одна из причин, по которой гипервизоры VMware ESXi становятся привлекательной целью, заключается в том, что ПО работает непосредственно на физическом сервере, предоставляя злоумышленнику возможность запускать вредоносные ELF-файлы и получать доступ к ресурсам машины.

Злоумышленники, желающие взломать гипервизоры ESXi, могут сделать это с помощью скомпрометированных учетных данных, затем получить повышенные привилегии и либо совершать боковое перемещение (Lateral Movement), либо выйти за пределы среды через известные уязвимости для достижения своих целей.

Среди групп вымогателей, которые атакуют ESXi, есть Royal, Conti, REvil, ALPHV (BlackCat), Black Basta, ESXiArgs, LockBit, Play и Rorschach.

Для снижения воздействия атаки Hypervisor Jackpotting организациям рекомендуется избегать прямого доступа к хостам ESXi, включать двухфакторную аутентификацию (2FA), периодически делать резервные копии томов хранилища данных ESXi, применять обновления безопасности и проводить оценки безопасности. CrowdStrike предупреждает, что атаки на инфраструктуру виртуализации на основе VMware будут продолжаться и советует организациям принимать меры по защите своих систем.

Темы:VMWareУгрозыВымогателиCrowdstrikeкибератака-как-усулуга
NGFW
24 июля. Отечественные ИT-платформы и ПО для объектов КИИ: готовность предприятий к 01 января 2025
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...