Новости Виртуализация – ключ к системе: как взламывают компании через VMware

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Из-за ошибки одного администратора может пострадать вся корпоративная сеть.


fcesm569o63nfb3msdp4sbnvbln28cda.jpg


Израильская ИБ-компания Sygnia Для просмотра ссылки Войди или Зарегистрируйся что платформы виртуализации, такие как VMware ESXi часто страдают от неправильных настроек и уязвимостей, что делает их привлекательными целями для хакеров.

В ходе расследований, связанных с различными семействами программ-вымогателей, такими как LockBit, HelloKitty, BlackMatter и другие, Sygnia обнаружила, что атаки на среды виртуализации следуют установленному порядку действий:

  1. Получение первоначального доступа: атакующие используют фишинговые атаки, загрузку вредоносных файлов и эксплуатацию известных уязвимостей в системах, доступных из интернета.
  2. Повышение привилегий: Злоумышленники получают доступ к учетным данным для хостов ESXi или vCenter разными методами, включая брутфорс -атаки.
  3. Проверка доступа: Киберпреступники проверяют доступ к инфраструктуре виртуализации и внедряют вымогательское ПО.
  4. Удаление или шифрование резервных копий: Чтобы усложнить процесс восстановления, резервные копии либо удаляются, либо шифруются, иногда изменяются пароли.
  5. Экфильтрация данных: Данные отправляются на внешние ресурсы, такие как Mega.io, Dropbox, или собственные хостинг-сервисы злоумышленников.
  6. Запуск вымогателя: Начинается шифрование папки «/vmfs/volumes» в файловой системе ESXi.
  7. Распространение вымогателя: Вымогательское ПО распространяется на «невиртуализированные» серверы и рабочие станции, чтобы расширить зону атаки.

2bjn52keh15ssr4l6mixfsqkwwmqmjsw.png


Цепочка атаки

Как защититься

Для минимизации рисков организации рекомендуется обеспечить надлежащие мониторинг и логирование, создать надежные механизмы резервного копирования, внедрить строгие меры аутентификации, укрепить инфраструктуру и ограничить сетевую активность для предотвращения перемещений внутри сети.
 
Источник новости
www.securitylab.ru

Похожие темы