研究人員發現虛擬機管理程序勒索軟件攻擊激增700%

安全軟件供應商Huntress的研究人員表示，他們注意到針對虛擬機管理程序的勒索軟件攻擊大幅增加，并敦促用戶確保系統盡可能安全并進行適當備份。

高級狩獵與響應分析師Anna Pham、技術客戶經理Ben Bernstein和狩獵與響應高級經理Dray Agha在周一發布的文章中寫道："Huntress案例數據顯示虛擬機管理程序勒索軟件出現驚人激增：其在惡意加密中的占比從上半年的僅3%飆升至下半年迄今為止的25%。"

三位研究人員警告說："推動這一趨勢的主要參與者是Akira勒索軟件組織。"他們補充說，該組織和其他攻擊者正在攻擊虛擬機管理程序，"試圖繞過終端和網絡安全控制。"

Huntress的威脅獵手認為，勒索軟件攻擊者之所以針對虛擬機管理程序，是因為它們防護不足，破解它們意味著攻擊者可以操控其管理的虛擬機和網絡。

研究人員寫道："這種轉變突顯了一個日益增長且令人擔憂的趨勢：攻擊者正在瞄準控制所有主機的基礎設施，通過訪問虛擬機管理程序，對手大大放大了其入侵的影響。"

三位研究人員寫道，對虛擬機管理程序的攻擊遵循"熟悉的套路"。"我們在VPN設備攻擊中見過這種情況：威脅行為者意識到主機操作系統通常是專有的或受限制的，這意味著防御者無法安裝關鍵的安全控制措施，如EDR（終端檢測和響應）。這造成了重大盲點。"

Huntress觀察到"多起勒索軟件運營商直接通過虛擬機管理程序部署勒索軟件載荷，完全繞過傳統終端保護的案例。在某些情況下，攻擊者利用內置工具如OpenSSL對虛擬機卷進行加密，避免了上傳自定義勒索軟件二進制文件的需要。"

研究人員還看到攻擊者攻陷網絡、竊取身份驗證憑據，然后瞄準虛擬機管理程序。他們補充說："我們看到Hyper-V管理工具被濫用來修改虛擬機設置并破壞安全功能。這包括禁用終端防御、篡改虛擬交換機，以及為大規模部署勒索軟件準備虛擬機。"

鑒于對虛擬機管理程序攻擊級別的提升，研究人員建議管理員重新審視一些信息安全基礎措施，如確保使用多因素身份驗證和復雜密碼，并及時更新補丁。他們還建議采用一些特定于虛擬機管理程序的防御措施，如使用僅允許白名單二進制文件在主機上運行的設置。

確保安全信息和事件管理系統攝取和分析虛擬機管理程序日志也在研究人員的待辦事項清單上。

信息安全專家幾十年來一直知道虛擬機管理程序是一個非常誘人的目標，特別是在虛擬機逃逸攻擊成功的最壞情況下，對客戶虛擬機的攻擊可以接管主機及其虛擬機管理程序。如果這種攻擊成為可能，后果可能是巨大的，因為所有超大規模云都依賴虛擬機管理程序來隔離租戶的虛擬機。

Q&A

Q1：Akira勒索軟件組織為什么要攻擊虛擬機管理程序？

A：Akira勒索軟件組織攻擊虛擬機管理程序主要是為了繞過終端和網絡安全控制。虛擬機管理程序通常防護不足，攻擊者破解后可以操控其管理的虛擬機和網絡，大大放大入侵影響。

Q2：虛擬機管理程序勒索軟件攻擊有什么特點？

A：攻擊者直接通過虛擬機管理程序部署勒索軟件，完全繞過傳統終端保護。他們利用內置工具如OpenSSL進行加密，避免上傳自定義勒索軟件。還會濫用管理工具修改虛擬機設置，禁用安全功能。

Q3：如何防護虛擬機管理程序免受勒索軟件攻擊？

A：建議采用多因素身份驗證和復雜密碼，及時更新補丁。使用白名單設置僅允許授權二進制文件運行。確保安全信息和事件管理系統能夠攝取分析虛擬機管理程序日志，建立完善的監控和防御機制。