Via Boletimsec
Uma nova operação de ransomware como serviço (RaaS), chamada MichaelKors, tornou-se a mais recente visando afetar sistemas Linux e VMware ESXi a partir de abril de 2023.
A segmentação de hypervisors VMware ESXi com ransomware para escalar essas campanhas é uma técnica conhecida como hipervisor jackpotting.
Ao longo dos anos, a abordagem foi adotada por vários grupos de ransomware, incluindo o Royal.
Além do mais, uma análise do SentinelOne na semana passada revelou que 10 famílias diferentes de ransomware, incluindo Conti e REvil, utilizaram o código-fonte vazado do Babuk em setembro de 2021 para desenvolver ataques direcionados ao VMware ESXi.
Parte do motivo pelo qual os hypervisors VMware estão se tornando um alvo atraente é que o software é executado diretamente em um servidor físico, concedendo a um invasor em potencial a capacidade de executar binários maliciosos e obter acesso irrestrito aos recursos subjacentes da máquina.
Os invasores podem atingir os servidores usando credenciais comprometidas, obtendo privilégios elevados e movendo-se lateralmente pela rede ou escapando dos limites por meio de falhas conhecidas para avançar dentro do ambiente.
Para mitigar o impacto do hypervisor jackpotting, recomenda-se que as organizações evitem o acesso direto aos hosts ESXi, habilitem a autenticação de dois fatores, façam backups periódicos dos volumes de armazenamento de dados ESXi, apliquem atualizações de segurança e conduzam revisões de postura de segurança.
