Sebuah operasi Ransomware-as-a-Service (RaaS) baru bernama MichaelKors telah menjadi malware penyandera file terbaru yang menargetkan sistem Linux dan VMware ESXi pada bulan April 2023. Ini menunjukkan bahwa pelaku kejahatan dunia maya semakin membidik ESXi, demikian laporan yang dibagikan oleh perusahaan keamanan siber CrowdStrike dengan The Hacker News.
Tren ini sangat mencolok mengingat ESXi, secara desain, tidak mendukung agen pihak ketiga atau perangkat lunak AV. Bahkan, VMware mengklaim bahwa itu tidak diperlukan. Hal ini, dikombinasikan dengan popularitas ESXi sebagai sistem virtualisasi dan manajemen yang luas dan populer, membuat hypervisor menjadi target yang sangat menarik bagi penjahat modern.
Penargetan hypervisor VMware ESXi dengan ransomware untuk meningkatkan kampanye semacam itu adalah teknik yang dikenal sebagai hypervisor jackpotting. Selama bertahun-tahun, pendekatan ini telah diadopsi oleh beberapa kelompok ransomware, termasuk Royal.
Analisis dari SentinelOne minggu lalu mengungkapkan bahwa 10 keluarga ransomware yang berbeda, termasuk Conti dan REvil, telah memanfaatkan kode sumber Babuk yang bocor pada September 2021 untuk mengembangkan pemegang kunci untuk hypervisor VMware ESXi.
Kelompok kejahatan e lainnya yang telah memperbarui arsenal mereka untuk menargetkan ESXi terdiri dari ALPHV (BlackCat), Black Basta, Defray, ESXiArgs, LockBit, Nevada, Play, Rook, dan Rorschach.
Sebagian dari alasan mengapa hypervisor VMware ESXi menjadi target yang menarik adalah bahwa perangkat lunak ini berjalan langsung pada server fisik, memberikan kemampuan bagi penyerang potensial untuk menjalankan biner ELF jahat dan memperoleh akses yang tidak terbatas atas sumber daya bawahnya.
Untuk meredakan dampak hypervisor jackpotting, disarankan bagi organisasi untuk menghindari akses langsung ke host ESXi, mengaktifkan otentikasi dua faktor, melakukan backup berkala dari volume datastore ESXi, menerapkan pembaruan keamanan, dan melakukan tinjauan posisi keamanan.
“Penjahat kemungkinan akan terus menargetkan infrastruktur virtualisasi berbasis VMware,” kata CrowdStrike. “Ini merupakan masalah besar karena lebih banyak organisasi terus mentransfer beban kerja dan infrastruktur ke lingkungan cloud – semuanya melalui lingkungan VMWare Hypervisor.”
