Executive Summary

Während Unternehmen weiterhin ihre kritischen Infrastrukturen und Geschäftssysteme virtualisieren, haben Bedrohungsakteure, die Ransomware einsetzen, mit gleicher Münze reagiert. Zwischen 2021 und 2022 haben wir einen etwa dreifachen Anstieg von Ransomware beobachtet, die auf ESXi abzielt. Angeboten werden Angebote von zahlreichen Gruppen, darunter ALPHV, LockBit und BlackBasta. Wir haben Erkennungsstrategien für mehrere TTPs ermittelt und beschrieben, die häufig vor dem Ablegen der Ransomware-Nutzlast auftreten, um Erkennungs- und Abwehrmaßnahmen zu erstellen, die auf der tatsächlichen Verwendung dieser Tools durch Bedrohungsakteure basieren. Zusätzlich zur Bereitstellung werkzeugspezifischer Erkennungen wie YARA- und Sigma-Regeln haben wir auch Erkennungen für gängige Aufzählungs-, Ausnutzungs- und Persistenztechniken identifiziert. Die bereitgestellten Erkennungen und Abwehrmaßnahmen können nicht nur für die unten bewerteten Tools verwendet werden, sondern auch für benutzerdefinierte (bedrohungsakteursspezifische) Tools, die außerhalb des Umfangs dieses Berichts liegen. Organisationen, die nach Bedrohungen durch TTPs vor dem Ausbruch von Ransomware für ESXi-Systeme suchen, diese erkennen und eindämmen möchten, sollten die bereitgestellten Erkennungen als Ausgangspunkt verwenden, um Erkennungen zu entwickeln, die speziell auf ihre Umgebung zugeschnitten sind und Teil eines mehrschichtigen Sicherheitsansatzes sind. Da es derzeit noch keine Abwehrprodukte für ESXi gibt, wie etwa Endpoint Detection and Response (EDR) oder Antivirensoftware (AV), und Unternehmen zunehmend auf Virtualisierung setzen, sind sie ein attraktives Ziel für Bedrohungsakteure und können potenziell zu Betriebsausfällen und Reputationsschäden für ein Unternehmen führen.

Key Takeaways

• Auf ESXi abzielende Ransomware wird auch weiterhin eine Bedrohung für Unternehmen darstellen und sie dem Risiko von Betriebsausfällen, Wettbewerbsnachteilen und einer Schädigung ihres Markenimages aussetzen.
• Unternehmen sollten weiterhin virtualisierte Infrastrukturen einsetzen, es ist jedoch von entscheidender Bedeutung, bewährte Sicherheitsmethoden und ähnliche Vorsichtsmaßnahmen zu implementieren, wie sie in der vorhandenen Infrastruktur verwendet werden.
• Die auf ESXi abzielenden Schadtools missbrauchen zur Ausführung ihrer Aktionen in erster Linie native Befehle, wodurch sie sich nur schwer von der normalen Aktivität des Systemadministrators unterscheiden lassen.
• Bedrohungsakteure, die es auf ESXi abgesehen haben, werden neben benutzerdefinierten Tools auch weiterhin frei verfügbare Tools und Gerätesuchmaschinen verwenden.
• Die Unreife der Antiviren- und EDR-Lösungen für ESXi und die Schwierigkeit, Sicherheitsmaßnahmen zu implementieren, verringern die technische Hürde für Bedrohungsakteure, die Malware auf ESXi bereitstellen, im Vergleich zu denen, die es auf Windows abgesehen haben.
• Das Ausnutzen von Schwachstellen für den Erstzugriff ist eine gängige Taktik. Viele Bedrohungsakteure verlassen sich jedoch einfach auf Notizen des Systemadministrators, gespeicherte Passwörter oder das Keylogging bestimmter Mitarbeiter, um Zugriff auf eine vSphere-Umgebung zu erhalten.
• Aufgrund der komplexen Natur von Hypervisoren sind Abwehrmaßnahmen schwer umzusetzen. Durch die Implementierung von Dienstprogrammen, die Host-Attestierung ermöglichen, die Angriffsfläche verringern und den Zugriff auf andere Systeme im Netzwerk minimieren, lässt sich das Risiko für Unternehmen jedoch erheblich senken.

Hintergrund

Ransomware-Gruppen entwickeln sich ständig weiter und erweitern ihre Toolsets. Dabei konzentrieren sie sich auf speziellere Ziele und entwickeln immer ausgefeiltere Tools, die auf Gewinnmöglichkeiten basieren. VMware ESXi ist der marktführende Hypervisor der Unternehmensklasse, der für die Bereitstellung und Verwaltung virtueller Infrastrukturen entwickelt wurde. Auf ESXi abzielende Ransomware wird auch weiterhin eine Bedrohung für Unternehmen darstellen, die den Großteil ihrer Serverinfrastruktur virtualisieren möchten. Die Absicherung virtualisierter Infrastrukturen gestaltet sich in der Praxis kompliziert, da es sich um eine proprietäre Technologie handelt und entsprechende Abwehrprodukte noch relativ neu sind. Aufgrund dieser Faktoren stellt ESXi ein äußerst attraktives Ziel für finanziell motivierte Bedrohungsakteure dar.

Im Jahr 2020 gab es nur sehr wenige Erwähnungen von ESXi-Ransomware-Angriffen, da die Bedrohungsakteure aufgrund des durch die Pandemie ermöglichten Erstzugriffs und mehrerer kritischer Schwachstellen (wie CVE-2018-13379, CVE-2019-11510 und CVE-2019-19781) in erster Linie Windows-basierte Netzwerke ins Visier nahmen. Als Unternehmen mit wirksameren Abwehrmaßnahmen gegen Ransomware reagierten und Bedrohungsakteure die Abwehrlücken in virtualisierten Netzwerken erkannten, begannen Bedrohungsakteure mit der Entwicklung von ESXi-spezifischer Ransomware und Techniken. Im Jahr 2021 nahmen Cyberangriffe mit ESXi-Ransomware zu. Im Jahr 2022 beobachteten wir im Vergleich zum Vorjahr eine Verdreifachung der Ransomware-Angriffe durch eine größere Anzahl von Ransomware-Gruppen sowie fortschrittliche TTPs und Tools, die auf virtualisierte Infrastrukturen abzielen, wie in Abbildung 1 unten zu sehen ist.

Anmerkung der Redaktion: Dies ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse mit Endnoten zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.