De mechanisatie van gevirtualiseerde aanvallen

Cyberbeveiliging
De mechanisatie van gevirtualiseerde aanvallen

In 2024 bereikten de ransomware-aanvallen gericht op VMware ESXi-servers een alarmerend niveau, waarbij de gemiddelde vraag naar losgeld omhoog schoot naar $ 5 miljoen. Omdat ongeveer 8.000 ESXi-hosts rechtstreeks aan het internet zijn blootgesteld (volgens Shodan), is de operationele en zakelijke impact van deze aanvallen groot.

De meeste ransomware-varianten die tegenwoordig ESXi-servers aanvallen, zijn varianten van de beruchte Babuk-ransomware, aangepast om detectie van beveiligingstools te voorkomen. Bovendien wordt de toegankelijkheid steeds wijdverspreider, omdat aanvallers geld verdienen met hun toegangspunten door Initial Access te verkopen aan andere bedreigingsactoren, waaronder ransomware-groepen. Nu organisaties te maken hebben met samengestelde dreigingen op een steeds groter wordend front: nieuwe kwetsbaarheden, nieuwe toegangspunten, cybercriminaliteitsnetwerken die inkomsten genereren en meer, wordt de urgentie voor verbeterde beveiligingsmaatregelen en waakzaamheid steeds groter.

De architectuur van ESXi

Begrijpen hoe een aanvaller controle kan krijgen over de ESXi-host begint met het begrijpen van de architectuur van gevirtualiseerde omgevingen en hun componenten. Dit zal helpen bij het identificeren van potentiële kwetsbaarheden en toegangspunten.

Hierop voortbouwend kunnen aanvallers die zich richten op ESXi-servers op zoek gaan naar het centrale knooppunt dat meerdere ESXi-hosts beheert. Hierdoor kunnen ze hun impact maximaliseren.

Dit brengt ons bij het vCenter, het centrale beheer voor de VMware-infrastructuur en ontworpen om verschillende ESXi-hosts te beheren. De vCenter-server orkestreert het ESXi-hostbeheer met het standaard ‘vpxuser’-account. Met rootrechten is het “vpxuser”-account verantwoordelijk voor administratieve acties op de virtuele machines die zich op de ESXi-hosts bevinden. Bijvoorbeeld het overbrengen van VM’s tussen hosts en het wijzigen van configuraties van actieve VM’s.

Gecodeerde wachtwoorden voor elke verbonden ESXi-host worden opgeslagen in een tabel op de vCenter-server. Een geheime sleutel die op de vCenter-server is opgeslagen, vergemakkelijkt de decodering van het wachtwoord en daarmee de totale controle over alle ESXi-hosts. Eenmaal ontsleuteld, kan het “vpxuser”-account worden gebruikt voor root-machtigingen, inclusief het wijzigen van configuraties, het wijzigen van wachtwoorden van andere accounts, SSH-login en het uitvoeren van ransomware.

Encryptie op ESXi

Ransomwarecampagnes zijn bedoeld om herstel buitengewoon moeilijk te maken en de organisatie te dwingen het losgeld te betalen. Met ESXi-aanvallen wordt dit bereikt door zich te richten op vier bestandstypen die essentieel zijn voor de operationele continuïteit:

  1. VMDK-bestanden: een virtueel schijfbestand waarin de inhoud van de harde schijf van een virtuele machine wordt opgeslagen. Door deze bestanden te versleutelen, wordt de virtuele machine volledig onbruikbaar.
  2. VMEM-bestanden: het wisselbestand van elke virtuele machine. Het versleutelen of verwijderen van VMEM-bestanden kan leiden tot aanzienlijk gegevensverlies en complicaties bij pogingen om opgeschorte VM’s te hervatten.
  3. VSWP-bestanden: Wisselbestanden, die een deel van het geheugen van de VM opslaan dan wat het fysieke geheugen van de host kan bieden. Het versleutelen van deze wisselbestanden kan crashes in VM’s veroorzaken.
  4. VMSN-bestanden: Snapshots voor het maken van back-ups van VM’s. Het richten op deze bestanden bemoeilijkt noodherstelprocessen.

Omdat de bestanden die betrokken zijn bij ransomware-aanvallen op ESXi-servers groot zijn, gebruiken aanvallers doorgaans een hybride encryptieaanpak. Ze combineren de snelheid van symmetrische encryptie met de veiligheid van asymmetrische encryptie.

  • Symmetrische codering – Deze methoden, zoals AES of Chacha20, maken snelheid en efficiëntie mogelijk bij het coderen van grote hoeveelheden gegevens. Aanvallers kunnen bestanden snel versleutelen, waardoor de kans op detectie en mitigatie door beveiligingssystemen wordt verkleind.
  • Asymmetrische encryptie – Asymmetrische methoden, zoals RSA, zijn langzamer omdat ze gebruik maken van een publieke sleutel en een private sleutel en complexe wiskundige bewerkingen vereisen.

Daarom wordt asymmetrische encryptie bij ransomware vooral gebruikt voor het beveiligen van de sleutels die bij symmetrische encryptie worden gebruikt, en niet voor de gegevens zelf. Dit zorgt ervoor dat de versleutelde symmetrische sleutels alleen kunnen worden ontsleuteld door iemand die over de bijbehorende privésleutel beschikt, namelijk de aanvaller. Hierdoor wordt eenvoudige decodering voorkomen, waardoor een extra beveiligingslaag voor de aanvaller wordt toegevoegd.

4 sleutelstrategieën voor risicobeperking

Zodra we hebben erkend dat de vCenter-beveiliging in gevaar is, is de volgende stap het versterken van de verdediging door obstakels op het pad van potentiële aanvallers te plaatsen. Hier zijn enkele strategieën:

  1. Regelmatige VCSA-updates: Gebruik altijd de nieuwste versie van de VMware vCenter Server Appliance (VCSA) en houd deze up-to-date. Overstappen van een Windows-gebaseerd vCenter naar de VCSA kan de beveiliging verbeteren, omdat het specifiek is ontworpen voor het beheer van vSphere.
  2. Implementeer MFA en verwijder standaardgebruikers: Wijzig niet alleen standaardwachtwoorden, maar stel krachtige Multi-Factor Authenticatie (MFA) in voor gevoelige accounts om een ​​extra beschermingslaag toe te voegen.
  3. Implementeer effectieve detectietools: Gebruik detectie- en preventietools rechtstreeks op uw vCenter. Oplossingen zoals EDR’s, XDR’s of tools van derden kunnen helpen bij monitoring en waarschuwingen, waardoor het voor aanvallers moeilijker wordt om te slagen. Bijvoorbeeld het instellen van monitoringbeleid dat specifiek ongebruikelijke toegangspogingen tot het vpxuser-account bijhoudt of waarschuwingen voor gecodeerde bestandsactiviteit binnen de vCenter-omgeving.
  4. Netwerksegmentatie: Segmenteer uw netwerk om de verkeersstroom te controleren en het risico op zijwaartse beweging door aanvallers te verminderen. Door het vCenter-beheernetwerk gescheiden te houden van andere segmenten, kunt u potentiële inbreuken beperken.

Continu testen: versterking van uw ESXi-beveiliging

Het beschermen van uw vCenter tegen ESXi-ransomware-aanvallen is van cruciaal belang. De risico’s die verbonden zijn aan een gecompromitteerd vCenter kunnen van invloed zijn op uw hele organisatie en op iedereen die afhankelijk is van kritieke gegevens.

Regelmatige tests en beoordelingen kunnen helpen beveiligingslacunes te identificeren en aan te pakken voordat deze ernstige problemen worden. Werk samen met beveiligingsexperts die u kunnen helpen bij het implementeren van een Continuous Threat Exposure Management (CTEM)-strategie die is afgestemd op uw organisatie.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

De gelekte specificaties van de iPhone 16E wijzen op een superkrachtig apparaat

Oplichters richten zich nu op iPhone-gebruikers via de Apple iMessage-app

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]