Công ty an ninh mạng Sygnia cho biết: “Nền tảng ảo hóa là thành phần cốt lõi của cơ sở hạ tầng CNTT của tổ chức, tuy nhiên, chúng thường mắc phải các lỗ hổng và cấu hình sai lâu đời, khiến chúng trở thành mục tiêu ưa thích của các tác nhân đe dọa”.
Thông qua các nỗ lực ứng phó sự cố liên quan đến nhiều loại ransomware khác nhau như LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat và Cheerscrypt, Sygnia nhận thấy rằng các cuộc tấn công vào các trường Ảo hóa đều tuân theo một chuỗi hành động tương tự, bao gồm các bước sau :
– Giành được quyền truy cập ban đầu thông qua các cuộc tấn công lừa đảo, tải xuống các tệp độc hại và khai thác các lỗ hổng đã biết trong các thiết bị và ứng dụng được kết nối Internet;
– Nâng cao quyền để lấy thông tin xác thực cho máy chủ ESXi hoặc vCenter thông qua các cuộc tấn công vũ phu hoặc các phương pháp khác;
– Xác thực quyền truy cập vào cơ sở hạ tầng ảo hóa và triển khai ransomware;
– Xóa hoặc mã hóa hệ thống sao lưu hoặc thay đổi mật khẩu trong một số trường hợp gây khó khăn cho việc khôi phục;
– Trích xuất dữ liệu vào các kho lưu trữ bên ngoài như Mega.io, Dropbox hoặc dịch vụ lưu trữ của riêng họ;
– Thực thi ransomware để mã hóa thư mục “/vmfs/volumes” của hệ thống file ESXi;
– Phát tán ransomware tới các máy chủ và máy trạm vật lý để mở rộng phạm vi tấn công.
Để giảm thiểu rủi ro do các mối đe dọa như vậy gây ra, các tổ chức cần đảm bảo giám sát và ghi nhật ký đầy đủ, áp dụng các cơ chế sao lưu mạnh mẽ, các biện pháp xác thực mạnh mẽ và củng cố môi trường. chẳng hạn như thực hiện các giới hạn truy cập để ngăn chặn sự lây lan của các cuộc tấn công trong mạng.
Diễn biến này xảy ra khi công ty an ninh mạng Rapid7 cảnh báo về một chiến dịch đang diễn ra kể từ đầu tháng 3 năm 2024, sử dụng quảng cáo độc hại trên các công cụ tìm kiếm phổ biến để phát tán phần mềm độc hại. phần mềm độc hại trojan dành cho WinSCP và PuTTY với mục tiêu cuối cùng là triển khai ransomware.
Link nguồn: https://cafef.vn/bao-dong-cac-cuoc-tan-cong-ransomware-khai-thac-lo-hong-vmware-esxi-188240527130818222.chn