Nel 2024, gli attacchi ransomware che prendono di mira i server VMware ESXi hanno raggiunto livelli allarmanti, con le richieste di riscatto medie che sono schizzate fino a 5 milioni di dollari. Con circa 8.000 host ESXi esposti direttamente su Internet, l'impatto operativo e aziendale di questi attacchi è profondo. I ransomware che colpiscono i server ESXi sono spesso varianti del famigerato ransomware Babuk, adattate per evitare il rilevamento degli strumenti di sicurezza. Gli attaccanti stanno monetizzando i loro punti di ingresso vendendo l'accesso iniziale ad altri attori della minaccia, compresi i gruppi di ransomware. Di fronte a minacce sempre più complesse, è fondamentale adottare misure di sicurezza potenziate e mantenere un alto livello di vigilanza.
Comprendere l'architettura degli ambienti virtualizzati
Per comprendere come un attaccante possa prendere il controllo di un host ESXi, è necessario comprendere l'architettura degli ambienti virtualizzati e i loro componenti. Gli attaccanti potrebbero mirare al nodo centrale che gestisce più host ESXi per massimizzare il loro impatto. Questo ci porta al vCenter, l'amministrazione centrale per l'infrastruttura VMware progettata per gestire diversi host ESXi. Il server vCenter orchestra la gestione degli host ESXi con l'account predefinito "vpxuser". Questo account detiene i permessi di root, consentendo azioni amministrative sulle macchine virtuali residenti sugli host ESXi. Le password criptate per ogni host ESXi connesso sono memorizzate in una tabella all'interno del server vCenter. Una chiave segreta memorizzata nel server vCenter facilita la decrittazione delle password e, di conseguenza, il controllo totale su ciascun host ESXi.
Obiettivo degli attacchi ransomware
Gli attacchi ransomware puntano a rendere il recupero estremamente difficile, costringendo l'organizzazione a pagare il riscatto. Con gli attacchi ESXi, questo viene ottenuto colpendo quattro tipi di file essenziali per la continuità operativa: i file VMDK, VMEM, VSWP, e VMSN. Poiché i file coinvolti in questi attacchi sono grandi, gli attaccanti impiegano un approccio di crittografia ibrida, combinando la rapidità della crittografia simmetrica con la sicurezza della crittografia asimmetrica.
Strategie di mitigazione
Per mitigare i rischi, è fondamentale adottare strategie chiave: aggiornare regolarmente il VCSA, implementare l'autenticazione a più fattori e rimuovere gli utenti predefiniti, distribuire strumenti di rilevamento efficaci e segmentare la rete per controllare il flusso del traffico e ridurre il rischio di movimenti laterali da parte degli attaccanti.
Protezione del vCenter
Proteggere il vCenter dagli attacchi ransomware ESXi è vitale. I rischi associati a un vCenter compromesso possono influenzare l'intera organizzazione, impattando tutti coloro che si affidano a dati critici. Test e valutazioni regolari possono aiutare a identificare e affrontare le lacune di sicurezza prima che diventino problemi seri. Lavorare con esperti di sicurezza può aiutare a implementare una strategia di gestione continua dell'esposizione alle minacce su misura per la tua organizzazione.
