Vor der Sperre: ESXi

Vor der Sperre: ESXi

insikt-group-logo-aktualisiert-3-300x48.png
Anmerkung der Redaktion: Dies ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse mit Endnoten zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.

Executive Summary

Während Unternehmen weiterhin ihre kritischen Infrastrukturen und Geschäftssysteme virtualisieren, haben Bedrohungsakteure, die Ransomware einsetzen, mit gleicher Münze reagiert. Zwischen 2021 und 2022 haben wir einen etwa dreifachen Anstieg von Ransomware beobachtet, die auf ESXi abzielt. Angeboten werden Angebote von zahlreichen Gruppen, darunter ALPHV, LockBit und BlackBasta. Wir haben Erkennungsstrategien für mehrere TTPs ermittelt und beschrieben, die häufig vor dem Ablegen der Ransomware-Nutzlast auftreten, um Erkennungs- und Abwehrmaßnahmen zu erstellen, die auf der tatsächlichen Verwendung dieser Tools durch Bedrohungsakteure basieren. Zusätzlich zur Bereitstellung werkzeugspezifischer Erkennungen wie YARA- und Sigma-Regeln haben wir auch Erkennungen für gängige Aufzählungs-, Ausnutzungs- und Persistenztechniken identifiziert. Die bereitgestellten Erkennungen und Abwehrmaßnahmen können nicht nur für die unten bewerteten Tools verwendet werden, sondern auch für benutzerdefinierte (bedrohungsakteursspezifische) Tools, die außerhalb des Umfangs dieses Berichts liegen. Organisationen, die nach Bedrohungen durch TTPs vor dem Ausbruch von Ransomware für ESXi-Systeme suchen, diese erkennen und eindämmen möchten, sollten die bereitgestellten Erkennungen als Ausgangspunkt verwenden, um Erkennungen zu entwickeln, die speziell auf ihre Umgebung zugeschnitten sind und Teil eines mehrschichtigen Sicherheitsansatzes sind. Da es derzeit noch keine Abwehrprodukte für ESXi gibt, wie etwa Endpoint Detection and Response (EDR) oder Antivirensoftware (AV), und Unternehmen zunehmend auf Virtualisierung setzen, sind sie ein attraktives Ziel für Bedrohungsakteure und können potenziell zu Betriebsausfällen und Reputationsschäden für ein Unternehmen führen.

Key Takeaways

Hintergrund

Ransomware-Gruppen entwickeln sich ständig weiter und erweitern ihre Toolsets. Dabei konzentrieren sie sich auf speziellere Ziele und entwickeln immer ausgefeiltere Tools, die auf Gewinnmöglichkeiten basieren. VMware ESXi ist der marktführende Hypervisor der Unternehmensklasse, der für die Bereitstellung und Verwaltung virtueller Infrastrukturen entwickelt wurde. Auf ESXi abzielende Ransomware wird auch weiterhin eine Bedrohung für Unternehmen darstellen, die den Großteil ihrer Serverinfrastruktur virtualisieren möchten. Die Absicherung virtualisierter Infrastrukturen gestaltet sich in der Praxis kompliziert, da es sich um eine proprietäre Technologie handelt und entsprechende Abwehrprodukte noch relativ neu sind. Aufgrund dieser Faktoren stellt ESXi ein äußerst attraktives Ziel für finanziell motivierte Bedrohungsakteure dar.

Im Jahr 2020 gab es nur sehr wenige Erwähnungen von ESXi-Ransomware-Angriffen, da die Bedrohungsakteure aufgrund des durch die Pandemie ermöglichten Erstzugriffs und mehrerer kritischer Schwachstellen (wie CVE-2018-13379, CVE-2019-11510 und CVE-2019-19781) in erster Linie Windows-basierte Netzwerke ins Visier nahmen. Als Unternehmen mit wirksameren Abwehrmaßnahmen gegen Ransomware reagierten und Bedrohungsakteure die Abwehrlücken in virtualisierten Netzwerken erkannten, begannen Bedrohungsakteure mit der Entwicklung von ESXi-spezifischer Ransomware und Techniken. Im Jahr 2021 nahmen Cyberangriffe mit ESXi-Ransomware zu. Im Jahr 2022 beobachteten wir im Vergleich zum Vorjahr eine Verdreifachung der Ransomware-Angriffe durch eine größere Anzahl von Ransomware-Gruppen sowie fortschrittliche TTPs und Tools, die auf virtualisierte Infrastrukturen abzielen, wie in Abbildung 1 unten zu sehen ist.

esxi-001.png
Abbildung 1: Ransomware-Angriffe, die sich auf ESXi konzentrieren, zeigen einen 3-fachen Anstieg in einem einzigen Jahr (Quelle: Recorded Future)

Anmerkung der Redaktion: Dies ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse mit Endnoten zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.