MichaelKors adlı yeni bir hizmet olarak fidye yazılımı (RaaS) işlemi, Nisan 2023 itibarıyla Linux ve VMware ESXi sistemlerini hedefleyen en son dosya şifreleme kötü amaçlı yazılımı haline geldi.
Siber güvenlik firması CrowdStrike, The Hacker News ile paylaştığı bir raporda, gelişmenin siber suçlu aktörlerin giderek daha fazla gözlerini ESXi’ye diktiğine işaret ettiğini söyledi.
Şirket, “ESXi’nin tasarımı gereği üçüncü taraf ajanları veya AV yazılımlarını desteklemediği göz önüne alındığında, bu eğilim özellikle dikkate değerdir” dedi.
“Aslında VMware, gerekli olmadığını iddia edecek kadar ileri gidiyor. Bu, yaygın ve popüler bir sanallaştırma ve yönetim sistemi olarak ESXi’nin popülaritesi ile birleştiğinde, hipervizörü modern rakipler için oldukça çekici bir hedef haline getiriyor.”
Bu tür kampanyaları ölçeklendirmek için VMware ESXi hipervizörlerinin fidye yazılımı ile hedeflenmesi, hipervizör ikramiyesi olarak bilinen bir tekniktir. Yıllar içinde bu yaklaşım Royal de dahil olmak üzere birçok fidye yazılımı grubu tarafından benimsendi.
Dahası, geçen hafta SentinelOne tarafından yapılan bir analiz, Conti ve REvil dahil olmak üzere 10 farklı fidye yazılımı ailesinin Eylül 2021’de VMware ESXi hipervizörleri için kilitli dolaplar geliştirmek üzere sızdırılmış Babuk kaynak kodunu kullandığını ortaya çıkardı.
Cephaneliklerini ESXi’yi hedef alacak şekilde güncelleyen diğer önemli e-suç grupları ALPHV (BlackCat), Black Basta, Defray, ESXiArgs, LockBit, Nevada, Play, Rook ve Rorschach’tan oluşuyor.
VMware ESXi hipervizörlerinin çekici bir hedef haline gelmesinin nedenlerinden biri, yazılımın doğrudan fiziksel bir sunucu üzerinde çalışarak potansiyel bir saldırgana kötü amaçlı ELF ikili dosyalarını çalıştırma ve makinenin temel kaynakları üzerinde sınırsız erişim elde etme yeteneği vermesidir.
ESXi hipervizörlerini ihlal etmek isteyen saldırganlar bunu, güvenliği ihlal edilmiş kimlik bilgilerini kullanarak, ardından yükseltilmiş ayrıcalıklar elde ederek ve amaçlarını ilerletmek için ya ağda yanal olarak hareket ederek ya da bilinen kusurlar aracılığıyla ortamın sınırlarından kaçarak yapabilir.
VMware, en son Eylül 2020’de güncellenen bir bilgi bankası makalesinde “vSphere Hypervisor ile antivirüs yazılımı gerekli değildir ve bu tür yazılımların kullanımının desteklenmediğini” belirtir.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
“Giderek daha fazla sayıda tehdit aktörü, güvenlik araçlarının eksikliğinin, ESXi arayüzlerinin yeterli ağ bölümlendirmesinin eksikliğinin ve [in-the-wild] CrowdStrike, ESXi için güvenlik açıkları, hedef açısından zengin bir ortam yaratıyor” dedi.
Fidye yazılımı aktörleri, sanal altyapıya saldıran yegane ekiplerdendir. Mart 2023’te Google’ın sahibi olduğu Mandiant, bir Çinli ulus devlet grubunu VIRTUALPITA ve VIRTUALPIE adlı yeni arka kapıların VMware ESXi sunucularını hedef alan saldırılarda kullanmasına bağladı.
Hiper yönetici ikramiyesinin etkisini azaltmak için kuruluşların ESXi ana bilgisayarlarına doğrudan erişimden kaçınmaları, iki faktörlü kimlik doğrulamayı etkinleştirmeleri, ESXi veri deposu birimlerinin periyodik yedeklerini almaları, güvenlik güncellemelerini uygulamaları ve güvenlik duruşu incelemeleri yürütmeleri önerilir.
CrowdStrike, “Düşmanlar muhtemelen VMware tabanlı sanallaştırma altyapısını hedeflemeye devam edecek” dedi. “Daha fazla kuruluş iş yüklerini ve altyapıyı VMWare Hypervisor ortamları aracılığıyla bulut ortamlarına aktarmaya devam ettikçe bu büyük bir endişe yaratıyor.”