【针对 VMware ESXi 基础设施的勒索软件攻击模式】

网络安全公司 Sygnia 发布的报告揭示了勒索软件攻击者在针对 VMware ESXi 基础设施时所遵循的既定模式。尽管虚拟化平台是组织 IT 基础设施的重要组成部分，但由于常见的配置错误和漏洞，它们成为攻击者的主要目标。

# 攻击步骤

Sygnia 在分析 LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat 和 Cheerscrypt 等多种勒索软件家族的事件响应后，总结出针对虚拟化环境的攻击遵循以下操作顺序：

1. 初始访问：通过网络钓鱼、恶意文件下载或利用互联网资产中的已知漏洞获取初始访问权限。

2. 提升权限：使用暴力攻击或其他方法获取 ESXi 主机或 vCenter 的凭据。

3. 验证访问：验证对虚拟化基础设施的访问权限并部署勒索软件。

4. 破坏备份：删除或加密备份系统，有时还会更改密码以复杂化恢复工作。

5. 数据泄露：将数据泄露到外部位置，如 Mega.io、Dropbox 或其他托管服务。

6. 执行勒索软件：启动勒索软件的执行，加密 ESXi 文件系统的“/vmfs/volumes”文件夹。

7. 扩大攻击范围：将勒索软件传播到非虚拟化服务器和工作站以扩大攻击范围。

# 风险缓解建议

为减轻此类威胁，建议组织采取以下措施：

- 实施充分的监控和日志记录

- 创建强大的备份机制

- 实施强有力的身份验证措施

- 强化环境安全

- 实施网络限制以防止横向移动

# 持续的恶意活动

网络安全公司 Rapid7 警告，自 2024 年 3 月初以来，恶意活动持续进行。这些活动在搜索引擎上投放恶意广告，通过域名抢注的域名分发 WinSCP 和 PuTTY 的木马安装程序，最终安装勒索软件。这些伪造的安装程序充当了投放 Sliver 后利用工具包的管道，该工具包随后用于投放更多有效载荷，包括用于勒索软件部署的 Cobalt Strike Beacon。

# 新勒索软件家族的出现

此次披露还伴随着 Beast、MorLock、Synapse 和 Trinity 等新勒索软件家族的出现。其中，MorLock 组织广泛攻击俄罗斯公司，对文件进行加密并索要大量赎金。

# 勒索软件攻击的趋势

根据 NCC 集团的数据，2024 年 4 月全球勒索软件攻击环比下降 15%，从 421 起降至 356 起。然而，LockBit 3.0 的攻击次数显著减少，取而代之的是 Play 成为最活跃的威胁组织，紧随其后的是 Hunters。

# hVNC 和远程访问服务的威胁

网络犯罪分子通过宣传隐藏的虚拟网络计算 (hVNC) 和远程访问服务（如 Pandora 和 TMChecker）加剧了勒索软件领域的动荡。这些服务可用于数据泄露、部署其他恶意软件以及促进勒索软件攻击。

Resecurity 表示，多个初始访问代理 (IAB) 和勒索软件运营商使用 TMChecker 检查受损数据中是否存在企业 VPN 和电子邮件帐户的有效凭证。TMChecker 的崛起大大降低了威胁行为者获取高影响力企业访问权限的成本。

# 结论

随着勒索软件攻击不断演变，组织需采取多层次的安全措施来保护其虚拟化基础设施。确保正确配置、定期更新和监控，是预防和应对这些攻击的关键。