針對(duì) VMware ESXi 基礎(chǔ)架構(gòu)的勒索軟件攻擊無(wú)論部署何種文件加密惡意軟件，都遵循一種既定模式。

網(wǎng)絡(luò)安全公司Sygnia在與《黑客新聞》共享的一份報(bào)告中提到：虛擬化平臺(tái)是組織IT基礎(chǔ)設(shè)施的核心組成部分，但它們往往存在固有的錯(cuò)誤配置和漏洞，這使它們成為威脅行為者有利可圖和高度有效的濫用目標(biāo)。

這家以色列公司通過(guò)對(duì)LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat和Cheerscrypt等各種勒索軟件家族的事件響應(yīng)工作發(fā)現(xiàn)，對(duì)虛擬化環(huán)境的攻擊遵循類似的行動(dòng)順序。

這包括以下步驟：

• 通過(guò)網(wǎng)絡(luò)釣魚攻擊、惡意文件下載和利用面向互聯(lián)網(wǎng)資產(chǎn)的已知漏洞獲取初始訪問(wèn)權(quán)限
• 利用暴力攻擊或其他方法提升權(quán)限，獲取 ESXi 主機(jī)或 vCenter 的憑證
• 驗(yàn)證他們對(duì)虛擬化基礎(chǔ)架構(gòu)的訪問(wèn)權(quán)限并部署勒索軟件
• 刪除或加密備份系統(tǒng)，或在某些情況下更改密碼，使恢復(fù)工作復(fù)雜化
• 將數(shù)據(jù)滲出到外部位置，如 Mega.io、Dropbox 或他們自己的托管服務(wù)
• 啟動(dòng)勒索軟件的執(zhí)行以加密 ESXi 文件系統(tǒng)的"/vmfs/volumes "文件夾
• 將勒索軟件傳播到非虛擬化服務(wù)器和工作站，以擴(kuò)大攻擊范圍

為降低此類威脅帶來(lái)的風(fēng)險(xiǎn)，建議企業(yè)確保實(shí)施充分的監(jiān)控和日志記錄，創(chuàng)建強(qiáng)大的備份機(jī)制，執(zhí)行強(qiáng)有力的身份驗(yàn)證措施，加固環(huán)境，并實(shí)施網(wǎng)絡(luò)限制以防止橫向移動(dòng)。

網(wǎng)絡(luò)安全公司 Rapid7 警告稱，自 2024 年 3 月初以來(lái)，該公司一直在利用常用搜索引擎上的惡意廣告，通過(guò)錯(cuò)別字域名分發(fā) WinSCP 和 PuTTY 的木馬安裝程序，并最終安裝勒索軟件。

這些偽裝安裝程序充當(dāng)了投放 Sliver 后期漏洞工具包的渠道，該工具包隨后被用于投放更多有效載荷，包括用于部署勒索軟件的 Cobalt Strike Beacon。

該活動(dòng)與之前的 BlackCat 勒索軟件攻擊在戰(zhàn)術(shù)上有共同之處，后者使用惡意廣告作為初始訪問(wèn)載體，是交付氮?dú)鈵阂廛浖闹貜?fù)性活動(dòng)的一部分。

安全研究員Tyler McGraw說(shuō)：該活動(dòng)一定程度上影響了 IT 團(tuán)隊(duì)的成員，他們最有可能在尋找合法版本的同時(shí)下載木馬文件。

勒索軟件攻擊

惡意軟件一旦被成功執(zhí)行可能會(huì)為威脅行為者提供更多便利，讓其通過(guò)模糊后續(xù)管理操作的意圖來(lái)阻礙分析。

此次攻擊也是繼Beast、MorLock、Synapse和Trinity等新勒索軟件家族出現(xiàn)后的又一次最新事件披露，其中MorLock家族廣泛針對(duì)俄羅斯公司，并在不先外泄文件的情況下對(duì)文件進(jìn)行加密。

Group-IB在俄羅斯的分支機(jī)構(gòu)F.A.C.C.T.表示：為了恢復(fù)數(shù)據(jù)訪問(wèn)，MorLock攻擊者要求支付相當(dāng)高的贖金，贖金數(shù)額可達(dá)數(shù)千萬(wàn)或數(shù)億盧布。

根據(jù) NCC 集團(tuán)共享的數(shù)據(jù)，2024 年 4 月全球勒索軟件攻擊比上月下降了 15%，從 421 起降至 356 起。

值得注意的是，2024 年 4 月也標(biāo)志著 LockBit 結(jié)束了長(zhǎng)達(dá) 8 個(gè)月的受害者最多的威脅行為體統(tǒng)治，這也說(shuō)明了其在今年早些時(shí)候執(zhí)法部門大舉打擊后的艱難生存狀況。

然而，令人驚訝的是，LockBit 3.0 并不是本月最突出的威脅組織，其觀察到的攻擊次數(shù)還不到 3 月份的一半。反倒Play 成為了最活躍的威脅組織，緊隨其后的是 Hunters。

除了勒索軟件領(lǐng)域的動(dòng)蕩之外，網(wǎng)絡(luò)犯罪分子還在宣傳隱藏的虛擬網(wǎng)絡(luò)計(jì)算（hVNC）和遠(yuǎn)程訪問(wèn)服務(wù)，如 Pandora 和 TMChecker，這些服務(wù)可被用于數(shù)據(jù)外滲、部署額外的惡意軟件和促進(jìn)勒索軟件攻擊。

Resecurity表示：多個(gè)初始訪問(wèn)代理（IAB）和勒索軟件操作員使用 TMChecker 來(lái)檢查可用的受損數(shù)據(jù)，以確定是否存在企業(yè)VPN和電子郵件賬戶的有效憑證。

因此，TMChecker 的同時(shí)崛起意義重大，因?yàn)樗蟠蠼档土四切┫Ｍ@得高影響力企業(yè)訪問(wèn)權(quán)限的威脅行為者的進(jìn)入成本門檻，這些訪問(wèn)權(quán)限既可以用于初次利用，也可以在二級(jí)市場(chǎng)上出售給其他對(duì)手。