針對 VMware ESXi 基礎(chǔ)架構(gòu)的勒索軟件攻擊無論部署何種文件加密惡意軟件，都遵循一種既定模式。

網(wǎng)絡(luò)安全公司Sygnia在與《黑客新聞》共享的一份報告中提到：虛擬化平臺是組織IT基礎(chǔ)設(shè)施的核心組成部分，但它們往往存在固有的錯誤配置和漏洞，這使它們成為威脅行為者有利可圖和高度有效的濫用目標(biāo)。

這家以色列公司通過對LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat和Cheerscrypt等各種勒索軟件家族的事件響應(yīng)工作發(fā)現(xiàn)，對虛擬化環(huán)境的攻擊遵循類似的行動順序。

這包括以下步驟：

• 通過網(wǎng)絡(luò)釣魚攻擊、惡意文件下載和利用面向互聯(lián)網(wǎng)資產(chǎn)的已知漏洞獲取初始訪問權(quán)限
• 利用暴力攻擊或其他方法提升權(quán)限，獲取 ESXi 主機或 vCenter 的憑證
• 驗證他們對虛擬化基礎(chǔ)架構(gòu)的訪問權(quán)限并部署勒索軟件
• 刪除或加密備份系統(tǒng)，或在某些情況下更改密碼，使恢復(fù)工作復(fù)雜化
• 將數(shù)據(jù)滲出到外部位置，如 Mega.io、Dropbox 或他們自己的托管服務(wù)
• 啟動勒索軟件的執(zhí)行以加密 ESXi 文件系統(tǒng)的"/vmfs/volumes "文件夾
• 將勒索軟件傳播到非虛擬化服務(wù)器和工作站，以擴大攻擊范圍

為降低此類威脅帶來的風(fēng)險，建議企業(yè)確保實施充分的監(jiān)控和日志記錄，創(chuàng)建強大的備份機制，執(zhí)行強有力的身份驗證措施，加固環(huán)境，并實施網(wǎng)絡(luò)限制以防止橫向移動。

網(wǎng)絡(luò)安全公司 Rapid7 警告稱，自 2024 年 3 月初以來，該公司一直在利用常用搜索引擎上的惡意廣告，通過錯別字域名分發(fā) WinSCP 和 PuTTY 的木馬安裝程序，并最終安裝勒索軟件。

這些偽裝安裝程序充當(dāng)了投放 Sliver 后期漏洞工具包的渠道，該工具包隨后被用于投放更多有效載荷，包括用于部署勒索軟件的 Cobalt Strike Beacon。

該活動與之前的 BlackCat 勒索軟件攻擊在戰(zhàn)術(shù)上有共同之處，后者使用惡意廣告作為初始訪問載體，是交付氮氣惡意軟件的重復(fù)性活動的一部分。

安全研究員Tyler McGraw說：該活動一定程度上影響了 IT 團隊的成員，他們最有可能在尋找合法版本的同時下載木馬文件。

勒索軟件攻擊

惡意軟件一旦被成功執(zhí)行可能會為威脅行為者提供更多便利，讓其通過模糊后續(xù)管理操作的意圖來阻礙分析。

此次攻擊也是繼Beast、MorLock、Synapse和Trinity等新勒索軟件家族出現(xiàn)后的又一次最新事件披露，其中MorLock家族廣泛針對俄羅斯公司，并在不先外泄文件的情況下對文件進行加密。

Group-IB在俄羅斯的分支機構(gòu)F.A.C.C.T.表示：為了恢復(fù)數(shù)據(jù)訪問，MorLock攻擊者要求支付相當(dāng)高的贖金，贖金數(shù)額可達數(shù)千萬或數(shù)億盧布。

根據(jù) NCC 集團共享的數(shù)據(jù)，2024 年 4 月全球勒索軟件攻擊比上月下降了 15%，從 421 起降至 356 起。

值得注意的是，2024 年 4 月也標(biāo)志著 LockBit 結(jié)束了長達 8 個月的受害者最多的威脅行為體統(tǒng)治，這也說明了其在今年早些時候執(zhí)法部門大舉打擊后的艱難生存狀況。

然而，令人驚訝的是，LockBit 3.0 并不是本月最突出的威脅組織，其觀察到的攻擊次數(shù)還不到 3 月份的一半。反倒Play 成為了最活躍的威脅組織，緊隨其后的是 Hunters。

除了勒索軟件領(lǐng)域的動蕩之外，網(wǎng)絡(luò)犯罪分子還在宣傳隱藏的虛擬網(wǎng)絡(luò)計算（hVNC）和遠程訪問服務(wù)，如 Pandora 和 TMChecker，這些服務(wù)可被用于數(shù)據(jù)外滲、部署額外的惡意軟件和促進勒索軟件攻擊。

Resecurity表示：多個初始訪問代理（IAB）和勒索軟件操作員使用 TMChecker 來檢查可用的受損數(shù)據(jù)，以確定是否存在企業(yè)VPN和電子郵件賬戶的有效憑證。

因此，TMChecker 的同時崛起意義重大，因為它大大降低了那些希望獲得高影響力企業(yè)訪問權(quán)限的威脅行為者的進入成本門檻，這些訪問權(quán)限既可以用于初次利用，也可以在二級市場上出售給其他對手。