Συμμορία ransomware στοχεύει bare metal hypervisors VMware ESXi, αξιοποιώντας τη σήραγγα SSH για να μόνιμη πρόσβαση στο σύστημα, ενώ παραμένουν απαρατήρητοι.
Δείτε επίσης: Επιθέσεις Cleo: Η ransomware συμμορία Clop εκβιάζει 66 εταιρείες

Οι συσκευές VMware ESXi διαδραματίζουν κρίσιμο ρόλο σε εικονικά περιβάλλοντα, καθώς μπορούν να εκτελούν σε έναν μόνο φυσικό διακομιστή πολλαπλές εικονικές μηχανές ενός οργανισμού. Σε μεγάλο βαθμό δεν παρακολουθούνται και έχουν γίνει στόχος χάκερ που θέλουν να έχουν πρόσβαση σε εταιρικά δίκτυα όπου μπορούν να κλέψουν δεδομένα και να κρυπτογραφήσουν αρχεία, ακρωτηριάζοντας έτσι μια ολόκληρη επιχείρηση, καθιστώντας όλες τις εικονικές μηχανές απρόσιτες.
Η εταιρεία κυβερνοασφάλειας Sygnia αναφέρει ότι σε πολλές περιπτώσεις η παραβίαση επιτυγχάνεται με την εκμετάλλευση γνωστών ελαττωμάτων ή τη χρήση παραβιασμένων διαπιστευτηρίων διαχειριστή. Το VMware ESXi διαθέτει μια ενσωματωμένη υπηρεσία SSH που επιτρέπει στους διαχειριστές να διαχειρίζονται εξ αποστάσεως τον hypervisor μέσω ενός κελύφους.
Η Sygnia λέει ότι οι ομάδες ransomware κάνουν κατάχρηση αυτής της δυνατότητας για να εδραιώσουν την επιμονή, να μετακινηθούν πλευρικά και να αναπτύξουν ωφέλιμα φορτία ransomware. Δεδομένου ότι πολλοί οργανισμοί δεν παρακολουθούν ενεργά τη δραστηριότητα του VMware ESXi SSH, οι συμμορίες ransomware μπορούν να το χρησιμοποιήσουν κρυφά.
Δείτε ακόμα: Rhode Island: Παραβίαση δεδομένων μετά την επίθεση του Brain Cipher ransomware
H Sygnia υπογραμμίζει επίσης τις προκλήσεις στην παρακολούθηση των αρχείων καταγραφής ESXi, οι οποίες οδηγούν σε σημαντικά κενά ορατότητας που οι φορείς ransomware ξέρουν πώς να επωφεληθούν.

Σε αντίθεση με τα περισσότερα συστήματα όπου τα αρχεία καταγραφής ενοποιούνται σε ένα μόνο αρχείο syslog, το ESXi διανέμει αρχεία καταγραφής σε πολλαπλά αποκλειστικά αρχεία καταγραφής, επομένως η εύρεση στοιχείων απαιτεί τη συγκέντρωση πληροφοριών από πολλές πηγές.
Η εταιρεία ασφαλείας προτείνει στους διαχειριστές του συστήματος VMware ESXi, να εξετάσουν αυτά τα τέσσερα αρχεία καταγραφής για να ανιχνεύσουν τη σήραγγα SSH και τη δραστηριότητα ransomware:
/var/log/shell.log → Παρακολουθεί την εκτέλεση εντολών στο ESXi Shell
/var/log/hostd.log → Καταγράφει δραστηριότητες διαχείρισης και ελέγχχει την ταυτότητα του χρήστη
/var/log/auth.log → Καταγράφει προσπάθειες σύνδεσης και συμβάντα ελέγχου ταυτότητας
/var/log/vobd.log → Αποθηκεύει αρχεία καταγραφής συμβάντων συστήματος και ασφάλειας
Το hostd.log και το vodb.log είναι πιθανό να περιέχουν επίσης ίχνη τροποποίησης κανόνων τείχους προστασίας, κάτι που είναι απαραίτητο για να επιτρέπεται η μόνιμη πρόσβαση SSH.
Δείτε επίσης: Το Clop ransomware λέει ότι βρίσκεται πίσω από τις επιθέσεις Cleo
Οι επιθέσεις ransomware αποτελούν μια αυξανόμενη απειλή στο σημερινό ψηφιακό τοπίο, στοχεύοντας άτομα, επιχειρήσεις και κυβερνήσεις. Αυτές οι επιθέσεις περιλαμβάνουν κακόβουλο λογισμικό που έχει σχεδιαστεί για να κρυπτογραφεί τα δεδομένα ενός θύματος, καθιστώντας τα απρόσιτα έως ότου καταβληθούν λύτρα στον εισβολέα. Συχνά διαδίδονται μέσω ηλεκτρονικών μηνυμάτων ηλεκτρονικού phishing ή παραβιασμένου λογισμικού. Tο ransomware ενέχει σημαντικούς κινδύνους, συμπεριλαμβανομένης της οικονομικής απώλειας, της βλάβης της φήμης και των λειτουργικών διαταραχών, όπως στην περίπτωση του VMware ESXi. Για να μετριάσουν αυτούς τους κινδύνους, οι οργανισμοί πρέπει να υιοθετήσουν ισχυρά μέτρα κυβερνοασφάλειας, όπως τακτικά αντίγραφα ασφαλείας δεδομένων, εκπαίδευση εργαζομένων και εξελιγμένα συστήματα ανίχνευσης απειλών. Η αποτροπή επιθέσεων ransomware απαιτεί ευαισθητοποίηση και προληπτικές προσπάθειες για την ασφάλεια των ψηφιακών στοιχείων.
Πηγή: bleepingcomputer