VMware’in ESXi hipervizörünün yaygın kullanımı ve üçüncü taraf kötü amaçlı yazılım algılama yeteneklerini desteklememesi, teknolojiyi fidye yazılımı operatörleri için giderek daha çekici bir hedef haline getirdi.
Bu moda akımının en son tezahürü, CrowdStrike araştırmacılarının yakın zamanda saldırganların ESXi/Linux sistemlerini hedeflemek için kullandığını tespit ettiği yeni bir hizmet olarak fidye yazılımı (RaaS) programı olan “MichaelKors”tur. MichaelKors, şu anda saldırganlara ESXi sistemlerini kilitlemek için kötü amaçlı ikili dosyalar sağlayan Alpha Spider, Bitwise Spider ve Sprite Spider dahil olmak üzere CrowdStrike’ın izlediği birkaç ücretli hizmetten biridir.
Çok Sayıda ESXi Fidye Yazılımı
Bu ayın başlarında SentinelOne, 2021’deki Babuk fidye yazılımı türünün sızdırılmış kaynak koduna dayalı olarak fidye yazılımı türevlerini içeren benzer bir trend bildirdi. ESXi hipervizörünü hedefliyor. Babuk ESXi türevlerini kullananlar arasında küçük gruplar ve Conti ve REvil gibi büyük fidye yazılımı operatörleri vardı. SentinelOne, saldırganların konuk makineleri öldürmek ve hipervizör dosyalarını şifrelemek için genellikle ESXi’nin yerel araçlarından ve komutlarından yararlandığını tespit etti.
Diğer satıcılar, Royal fidye yazılımı, Luna ve Black Basta operatörleri de dahil olmak üzere, tümü geçen yıl içinde Windows’tan ESXi/Linux’a dönen çok sayıda başka büyük fidye yazılımı grubu gördüklerini bildirdi.
Saldırganların hipervizörlere ve özellikle VMware’in ESXi teknolojisine ilgi duymasını sağlayan birkaç faktör vardır.
Hipervizör İkramiyesi
Bunlardan biri, birçok kuruluşun sanal altyapılarını yönetmek için ESXi kullanmasıdır. VMware ortamları genellikle iş açısından kritik uygulamaları çalıştıran yüzlerce sanal makineyi barındırır. Saldırganlar, ESXi’den ödün vererek ana bilgisayardaki birden fazla sanal makine üzerinde potansiyel olarak kontrol elde edebilir ve böylece onlara saldırılarını önemli ölçüde artırma fırsatı verir. Bir fidye yazılımı senaryosunda, bir saldırgan birden fazla sanal makineyi şifreleyebilir ve kurbanlardan fidye toplama olasılıklarını artırabilir.
Bu tür “hiper yönetici ikramiyesi”, saldırganların büyük ve yüksek profilli işletme kuruluşlarını hedef alan sözde büyük av kampanyalarında kullandıkları bir taktiktir. Bir CrowdStrike sözcüsü, “Hiper yönetici ikramiyesinde, tehdit aktörleri, VMware’in ESXi vSphere hipervizörünü etkilemek için özel olarak tasarlanmış fidye yazılımı araçlarının Linux sürümlerini kullanıyor” dedi. “Saldırganlar, ESXi ana bilgisayarlarına fidye yazılımı dağıtarak, kurban ortamlarındaki etkilenen sistemlerin kapsamını hızla genişletiyor ve bu da kurbanlar üzerinde fidye talebi ödemeleri için ek baskı oluşturuyor.”
Kötü Amaçlı Yazılım Tespiti için Destek Eksikliği
CrowdStrike’a göre saldırganların giderek daha fazla ESXi ortamlarını hedeflemesinin ikinci nedeni, hipervizörün herhangi bir yerel kötü amaçlı yazılım algılama özelliğini desteklemediğini bilmeleridir. Bir hipervizör olarak ESXi, tamamen sanallaştırma hizmetleri ve sanal makineleri yönetme hizmetleri sağlamak üzere tasarlanmıştır. VMware’in kendisi, hiper yöneticiyi herhangi bir virüsten koruma yazılımı gerektirmeyen olarak tanımlamıştır ve üçüncü taraf kötü amaçlı yazılım algılama aracıları için herhangi bir destek sağlamamıştır. CrowdStrike bu hafta blog yazısında “ESXi, tasarımı gereği üçüncü taraf aracıları veya virüsten koruma yazılımlarını desteklemez ve VMware, belgelerinde virüsten koruma yazılımının gerekli olmadığını belirtir.” Güvenlik satıcısı, ESXi’nin popülaritesi ile birleşen bu gerçeğin, hipervizörü modern düşmanlar için oldukça çekici bir hedef haline getirdiğini söyledi.
Diğerleri de aynı sorunu vurguladı. 2021 ile 2022 arasında ESxi sunucularını hedef alan fidye yazılımında üç kat artış (434’ten 1.188’e) sayan Recorded Future, kısa bir süre önce ESXi için antivirüs ve kötü amaçlı yazılım tespit teknolojilerinin henüz olgunlaşmamış olduğunu ve bunları uygulamadaki zorluğun tehdit aktörlerinin önündeki engeli azalttığını belirtti. . Recorded Future, “Hipervizörlerin karmaşık yapısı nedeniyle savunma uygulamalarının uygulanması zordur.” Dedi.
ESXi güvenlik açıkları başka bir sorundur. Bu yılın başlarında ESXi sunucularına yönelik küresel bir fidye yazılımı saldırısı, biri 2021’den (CVE-2021-21974) ve diğeri 2020’den (CVE-2020-3992) hipervizördeki iki güvenlik açığından yararlanarak yeni bir fidye yazılımı türü bırakan küresel bir fidye yazılımı saldırısıdır. ESXiArgs denir.
CrowdStrike sözcüsü, “VMware ürünlerinin popülaritesi ve bulut altyapısının sürekli benimsenmesi göz önüne alındığında, bu sorun daha da kötüye gidiyor gibi görünüyor” dedi. “CrowdStrike Intelligence ayrıca hiper yönetici ikramiyesinin baskın bir trend haline geldiğini gözlemledi.”
Oyundaki daha büyük sorun, şu anda tehdide yardımcı olacak bir çözümün olmamasıdır. CrowdStrike sözcüsü, tehdit aktörlerinin ESXi ortamının savunmasız olduğunu ve şu anda çaresi olmadığını bildikleri için VMware’i hedef almaya devam ettiğini belirtiyor. “Gittikçe daha fazla sayıda tehdit aktörü, güvenlik teknolojisi ve izleme eksikliğinin, ESXi arabirimlerinin yeterli ağ segmentasyonu eksikliğinin ve ESXi için vahşi güvenlik açıklarının fidye yazılımı saldırganları için hedef bakımından zengin bir ortam oluşturduğunu fark ediyor”.