Ransomware som riktar sig till virtualiseringsplattformar Àr pÄ uppgÄng, sÀger Mandiant

Ransomware som riktar sig till virtualiseringsplattformar Àr pÄ uppgÄng, sÀger Mandiant


Mandiant har observerat en “betydande ökning” av antalet incidenter som involverar en ransomware-attack riktad mot virtualiseringsinfrastruktur, sa en expert pĂ„ cybersĂ€kerhetsföretaget till VentureBeat.

Ökningen har kommit under de senaste sex till 12 mĂ„naderna och representerar en justering av hotaktörstaktik – vilket gör det möjligt för dem att “snabbare och effektivare kryptera ett stort antal vĂ€rdar”, sĂ€ger Greg Blaum, huvudkonsult pĂ„ Mandiant.

PĂ„ tisdagen slĂ€ppte Mandiant M-Trends 2022, företagets 13:e Ă„rliga hotrapport. Bland de viktigaste fynden Ă€r att Mandiant har observerat ransomware-fokuserade hotaktörer “inriktar sig alltmer pĂ„ virtualiseringsinfrastruktur”, avslöjade företaget i M-Trends 2022-rapporten.

Medan en traditionell ransomware-attack krĂ€ver att den skadliga nyttolasten distribueras över flera vĂ€rdar i ett offers miljö, kan en attack mot virtualiseringsinfrastruktur potentiellt infektera hundratals virtuella maskiner samtidigt. Med denna variation av attacker Ă€r “att slĂ„ en maskin mycket effektivare”, sa Blaum.

Mandiant rapporterar att man observerade ett antal ransomware-grupper som riktade in sig pÄ VMware vSphere- och ESXi-plattformar under 2021. Angriparna inkluderade hotaktörer som har associerats med Conti, Hive, DarkSide och Blackcat, enligt företaget.

I den hÀr typen av attacker har hotaktörerna anvÀnt kompromissade referenser för att komma Ät VMwares vCenter Server-hanteringsprogram, sÀger Mandiant. Angriparna anvÀnder sedan vCenter för att upptÀcka alla ESXi-vÀrdar som anvÀnds i offrets miljö, enligt Mandiant.

Även om det traditionellt Ă€r en virtualiseringsplattform pĂ„ plats, kommer ett antal molnleverantörer ocksĂ„ att vara vĂ€rd för denna typ av virtualiseringsinfrastruktur för klienter.

BegrÀnsningar

NÀr det gÀller begrÀnsningar för denna typ av attack Àr den mest effektiva nÀtverkssegmenteringen, sa Blaum. Detta innebÀr att hanteringsprogramvaran som anvÀnds med virtualiseringsinfrastrukturen placeras pÄ ett isolerat nÀtverk, eller VLAN.

“Om det inte finns nĂ„gra nĂ€tverksvĂ€gar för att komma till förvaltningsinfrastrukturen, kommer det att bli riktigt svĂ„rt för en angripare att utnyttja den,” sa Blaum.

AnvÀndningen av en PAM-lösning (privileged access management) skulle ocksÄ vara till hjÀlp för att blockera denna typ av attack, sa han.

I slutÀndan förvÀntas ransomware-attacker mot virtualiseringsinfrastruktur förbli ett problem, sa Blaum.

“Eftersom anvĂ€ndningen av virtualiseringsinfrastrukturen Ă€r sĂ„ genomgripande, och det faktum att angripare snabbt och enkelt kan kryptera ett stort antal vĂ€rdar, ser vi att denna trend fortsĂ€tter i framtiden,” sa han.

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknologi och handla. LÀs mer om medlemskap.