Исследователи компании Huntress, разработчика программного обеспечения для кибербезопасности, сообщили о резком увеличении числа атак программ-вымогателей (ransomware) на гипервизоры и призвали пользователей обеспечить максимальную безопасность и наличие резервных копий.
«Анализ данных Huntress выявил ошеломляющий всплеск атак ransomware на гипервизоры: доля их участия в злонамеренном шифровании возросла с 3% в первой половине года до 25% в текущей второй половине», — написали старший аналитик Hunt & Response Анна Фам, технический менеджер по работе с клиентами Бен Бернстайн и старший менеджер Hunt & Response Дрей Аgha в публикации, опубликованной в понедельник.
«Основным участником, стоящим за этой тенденцией, является группа ransomware Akira», — предупредили исследователи, добавив, что группировка и другие злоумышленники нацелены на гипервизоры «в попытке обойти средства контроля безопасности конечных точек и сети».
Охотники за угрозами Huntress полагают, что киберпреступники атакуют гипервизоры из-за их недостаточной защиты, и взлом этих систем позволяет им манипулировать виртуальными машинами и сетями, которые они управляют.
«Этот сдвиг подчеркивает растущую и неприятную тенденцию: злоумышленники нацелены на инфраструктуру, которая контролирует все хосты, и, получив доступ к гипервизору, противники значительно усиливают воздействие своего вторжения», — написали исследователи.
Атаки на гипервизоры следуют «знакомой схеме», — отметили исследователи. «Мы видели это и в атаках на VPN-устройства: злоумышленники понимают, что операционная система хоста часто является проприетарной или ограниченной, что означает, что защитники не могут устанавливать критические средства контроля безопасности, такие как EDR [Endpoint Detection and Response]. Это создает значительный пробел в защите».
Huntress зафиксировала «несколько случаев, когда операторы ransomware развертывают вредоносные программы непосредственно через гипервизоры, полностью обходя традиционные средства защиты конечных точек. В некоторых случаях злоумышленники используют встроенные инструменты, такие как OpenSSL, для шифрования томов виртуальных машин, избегая необходимости загружать собственные двоичные файлы ransomware».
Исследователи также видят, как злоумышленники получают доступ к сети, крадут учетные данные аутентификации, а затем нацеливаются на гипервизоры. «Мы наблюдали неправомерное использование служебных программ управления Hyper-V для изменения настроек виртуальных машин и подрыва функций безопасности», — добавляют они. «Это включает в себя отключение средств защиты конечных точек, манипулирование виртуальными коммутаторами и подготовку виртуальных машин к развертыванию ransomware в масштабе».
Учитывая возросший уровень атак на гипервизоры, исследователи рекомендуют администраторам пересмотреть основные принципы информационной безопасности, такие как обеспечение использования многофакторной аутентификации и сложных паролей, а также своевременное обновление патчей. Они также предлагают внедрить специализированные средства защиты гипервизоров, такие как настройки, позволяющие запускать только разрешенные бинарные файлы на хосте.
Также в списке задач исследователей — обеспечение того, чтобы системы управления информацией и событиями (SIEM) собирали и анализировали журналы гипервизоров.
Специалисты по информационной безопасности уже десятилетиями знают, что гипервизор является очень привлекательной целью, особенно в худшем сценарии успешного выхода из виртуальной машины, когда атака на гостевую виртуальную машину позволяет захватить хост и его гипервизор. Если бы такая атака стала возможной, последствия могли бы быть огромными, учитывая, что все облака гигантского масштаба полагаются на гипервизоры для изоляции виртуальных машин арендаторов. ®
Автор – Simon Sharwood
