Ransomware-aanvallen maken misbruik van VMware ESXi-kwetsbaarheden in een alarmerend patroon

Ransomware-aanvallen gericht op de VMware ESXi-infrastructuur volgen een vast patroon, ongeacht de gebruikte bestandsversleutelende malware.

“Virtualisatieplatforms zijn een kerncomponent van de IT-infrastructuur van organisaties, maar ze lijden vaak aan inherente misconfiguraties en kwetsbaarheden, waardoor ze een lucratief en zeer effectief doelwit zijn voor misbruik door bedreigingsactoren”, zegt cyberbeveiligingsbedrijf Sygnia in een rapport gedeeld met The Hacker News.

Het Israëlische bedrijf heeft door zijn inspanningen op het gebied van incidentrespons waarbij verschillende ransomware-families betrokken zijn, zoals LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat en Cheerscrypt, ontdekt dat aanvallen op virtualisatie-omgevingen een vergelijkbare reeks acties volgen.

Dit omvat de volgende stappen –

  • Het verkrijgen van initiële toegang via phishing-aanvallen, het downloaden van kwaadaardige bestanden en het exploiteren van bekende kwetsbaarheden in internetgerichte activa
  • Het escaleren van hun bevoegdheden om inloggegevens voor ESXi-hosts of vCenter te verkrijgen met behulp van brute-force-aanvallen of andere methoden
  • Het valideren van hun toegang tot de virtualisatie-infrastructuur en het inzetten van de ransomware
  • Het verwijderen of versleutelen van back-upsystemen, of in sommige gevallen het wijzigen van de wachtwoorden, om herstelwerkzaamheden te bemoeilijken
  • Gegevens exfiltreren naar externe locaties zoals Mega.io, Dropbox of hun eigen hostingdiensten
  • Het verspreiden van de ransomware naar niet-gevirtualiseerde servers en werkstations om de reikwijdte van de aanval te vergroten

Om de risico's van dergelijke bedreigingen te beperken, wordt organisaties aanbevolen ervoor te zorgen dat er adequate monitoring en logboekregistratie aanwezig is, robuuste back-upmechanismen te creëren, sterke authenticatiemaatregelen af ​​te dwingen, de omgeving te verharden en netwerkbeperkingen te implementeren om zijdelingse verplaatsing te voorkomen.

De ontwikkeling als cyberbeveiligingsbedrijf Rapid7 waarschuwde voor een voortdurende campagne sinds begin maart 2024 waarbij kwaadaardige advertenties op veelgebruikte zoekmachines worden gebruikt om getrojaniseerde installatieprogramma's voor WinSCP en PuTTY te verspreiden via typosquatted domeinen en uiteindelijk ransomware te installeren.

Deze nagemaakte installatieprogramma's fungeren als kanaal om de Sliver post-exploitatietoolkit te laten vallen, die vervolgens wordt gebruikt om meer ladingen te leveren, waaronder een Cobalt Strike Beacon die wordt gebruikt voor de implementatie van ransomware.

De activiteit vertoont tactische overlappingen met eerdere BlackCat-ransomwareaanvallen waarbij malvertising werd gebruikt als initiële toegangsvector als onderdeel van een terugkerende campagne die de Nitrogen-malware levert.

“De campagne treft onevenredig veel leden van IT-teams, die het meest waarschijnlijk de getrojaniseerde bestanden downloaden terwijl ze op zoek zijn naar legitieme versies”, zegt beveiligingsonderzoeker Tyler McGraw.

Ransomware-aanvallen

“Een succesvolle uitvoering van de malware geeft de bedreigingsacteur vervolgens meer voet aan de grond en belemmert de analyse door de bedoelingen van daaropvolgende administratieve acties te vervagen.”

De onthulling volgt ook op de opkomst van nieuwe ransomware-families zoals Beast, MorLock, Synapse en Trinity, waarbij de MorLock-groep uitgebreid achter Russische bedrijven aan gaat en bestanden versleutelt zonder ze eerst te exfiltreren.

“Voor het herstel van de toegang tot gegevens eisen de (MorLock) aanvallers een aanzienlijk losgeld, dat kan oplopen tot tientallen en honderden miljoenen roebel”, aldus FACCT, de Russische tak van Group-IB.

Volgens gegevens gedeeld door NCC Group registreerden de wereldwijde ransomware-aanvallen in april 2024 een daling van 15% ten opzichte van de voorgaande maand, van 421 naar 356.

Opmerkelijk is dat april 2024 ook het einde markeert van LockBit's acht maanden durende bewind als dreigingsactoren met de meeste slachtoffers, wat de strijd benadrukt om het hoofd boven water te houden in de nasleep van een ingrijpende wetshandhaving eerder dit jaar.

“Maar door een verrassende gang van zaken was LockBit 3.0 niet de meest prominente dreigingsgroep van de maand en had minder dan de helft van de waargenomen aanvallen in maart”, aldus het bedrijf. “In plaats daarvan was Play de meest actieve dreigingsgroep, kort daarna gevolgd door Hunters.”

De turbulentie in de ransomware-scene wordt aangevuld door cybercriminelen die reclame maken voor verborgen Virtual Network Computing (hVNC) en diensten voor externe toegang, zoals Pandora en TMChecker, die kunnen worden gebruikt voor data-exfiltratie, het inzetten van extra malware en het faciliteren van ransomware-aanvallen.

“Meerdere initial access brokers (IAB's) en ransomware-operators gebruiken (TMChecker) om beschikbare gecompromitteerde gegevens te controleren op de aanwezigheid van geldige inloggegevens voor zakelijke VPN- en e-mailaccounts”, aldus Resecurity.

“De gelijktijdige opkomst van TMChecker is dus significant omdat het de kostenbarrières voor toegang van bedreigingsactoren aanzienlijk verlaagt die op zoek zijn naar zakelijke toegang met grote impact, hetzij voor primaire exploitatie, hetzij voor verkoop aan andere tegenstanders op de secundaire markt.”

Thijs Van der Does