Nguồn: Cyber Security News.
Các chuyên gia an ninh mạng tại Sygnia đã ghi nhận một sự thay đổi đáng chú ý trong các chiến lược mà các nhóm ransomware nhắm vào các môi trường ảo hóa, cụ thể là cơ sở hạ tầng VMware ESXi, liên quan đến phát triển.
Nhóm ứng phó sự cố đã ghi nhận sự gia tăng ổn định các cuộc tấn công này, với các tác nhân đe dọa khai thác các cấu hình sai và lỗ hổng trong các nền tảng ảo hóa để tối đa hóa tác động của chúng.
Phân tích của Sygnia cho thấy các nhóm ransomware khét tiếng như LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat và Cheerscrypt thường xuyên tận dụng vectơ tấn công này.
Các tác nhân đe dọa này đã áp dụng một mô hình tấn công mới, tập trung vào việc đánh cắp dữ liệu trước khi mã hóa các hệ thống mục tiêu.
Phương thức hoạt động của các cuộc tấn công ransomware này bao gồm việc giành quyền truy cập ban đầu vào môi trường ảo hóa, tăng đặc quyền và tiến hành trinh sát mở rộng để xác định dữ liệu có giá trị.
Sau đó, các tác nhân đe dọa sẽ đánh cắp dữ liệu này, cho phép chúng mã hóa các tệp hiện có và công khai thông tin bị đánh cắp để gây thêm thiệt hại về mặt uy tín cho các tổ chức bị nhắm mục tiêu.
Một trong những khía cạnh đáng báo động nhất của các cuộc tấn công này là các hành động độc đáo mà các tác nhân đe dọa thực hiện trong giai đoạn thực thi ransomware.
Các cuộc điều tra của Sygnia đã tiết lộ rằng những kẻ tấn công đã tắt tất cả các máy ảo trước khi bắt đầu quá trình mã hóa, nhắm vào thư mục ‘/vmfs/volumes’ của hệ thống tệp ESXi. Chiến thuật này đảm bảo sự gián đoạn tối đa và khiến các nỗ lực phục hồi trở nên khó khăn hơn đối với các nạn nhân.
Điều này bao gồm việc vá và cập nhật cơ sở hạ tầng ảo hóa thường xuyên, thực thi các biện pháp kiểm soát truy cập mạnh mẽ, giám sát các hoạt động đáng ngờ và có kế hoạch ứng phó sự cố mạnh mẽ.
Một cuộc tấn công bằng phần mềm tống tiền vào cơ sở hạ tầng ESXi có thể gây ra thảm họa, với tình trạng mất dữ liệu nghiêm trọng, gián đoạn hoạt động, thiệt hại về tài chính, đánh cắp dữ liệu và tổn hại về mặt pháp lý và uy tín có thể đe dọa đến sự tồn vong của một tổ chức.
Các vectơ tấn công chính là các lỗ hổng chưa vá, cấu hình sai, lừa đảo, thông tin đăng nhập bị xâm phạm và khối lượng công việc không an toàn.
Các tổ chức phải áp dụng phương pháp bảo mật nhiều lớp, bao gồm vá lỗi kịp thời, củng cố, phân đoạn mạng, xác thực mạnh và bảo vệ khối lượng công việc để giảm thiểu rủi ro phần mềm tống tiền xâm phạm cơ sở hạ tầng ESXi của họ.
Khi các nhóm phần mềm tống tiền tiếp tục điều chỉnh chiến thuật của mình, điều quan trọng đối với các tổ chức dựa vào môi trường ảo hóa là phải luôn cảnh giác và chủ động trong các nỗ lực bảo mật mạng của mình.
Bằng cách luôn cập nhật về các mối đe dọa mới nhất và triển khai các chiến lược phòng thủ hiệu quả, các doanh nghiệp có thể bảo vệ tốt hơn các tài sản quan trọng của mình và giảm thiểu rủi ro trở thành nạn nhân của các cuộc tấn công tàn khốc này.
