Công ty an ninh mạng Sygnia cho biết: “Nền tảng ảo hóa là thành phần cốt lõi của cơ sở hạ tầng CNTT của tổ chức, tuy nhiên chúng thường mắc phải các lỗ hổng vốn có từ lâu và các lỗi cấu hình sai, khiến chúng trở thành mục tiêu ưa thích của các tác nhân đe dọa”.
Thông qua các nỗ lực ứng phó sự cố liên quan đến nhiều loại ransomware khác nhau như LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat và Cheerscrypt, Sygnia nhận thấy rằng các cuộc tấn công vào môi trường ảo hóa đều tuân theo một chuỗi hành động tương tự, bao gồm các bước sau:
- Giành quyền truy cập ban đầu thông qua các cuộc tấn công lừa đảo, tải xuống tệp độc hại và khai thác các lỗ hổng đã biết trong các thiết bị, ứng dụng có kết nối Internet;
- Leo thang quyền để có được thông tin xác thực cho máy chủ ESXi hoặc vCenter thông qua tấn công brute-force hoặc các phương pháp khác;
- Xác thực quyền truy cập vào cơ sở hạ tầng ảo hóa và triển khai ransomware;
- Xóa hoặc mã hóa hệ thống sao lưu hoặc thay đổi mật khẩu trong một số trường hợp để gây khó khăn cho việc khôi phục;
- Trích xuất dữ liệu sang các kho lưu trữ bên ngoài như Mega.io, Dropbox hoặc dịch vụ lưu trữ của riêng họ;
- Thực thi ransomware để mã hóa thư mục "/vmfs/volumes" của hệ thống tệp ESXi;
- Lây lan ransomware sang các máy chủ và máy trạm vật lý để mở rộng phạm vi tấn công.
Để giảm thiểu rủi ro do các mối đe dọa như vậy gây ra, các tổ chức nên đảm bảo giám sát và ghi log đầy đủ, áp dụng cơ chế sao lưu mạnh mẽ, các biện pháp xác thực mạnh và gia cố môi trường cũng như thực hiện các giới hạn truy cập để ngăn chặn lây lan tấn công trong mạng.
Sự phát triển này diễn ra khi công ty an ninh mạng Rapid7 cảnh báo về một chiến dịch đang diễn ra kể từ đầu tháng 3 năm 2024, sử dụng quảng cáo độc hại trên các công cụ tìm kiếm phổ biến để phát tán phần mềm độc hại trojan cho WinSCP và PuTTY với mục đích cuối cùng là triển khai ransomware.