勒索軟體鎖定VMware ESXi下手

S觀察員

勒索軟體鎖定VMware ESXi下手

來源：https://www.ithome.com.tw/news/147136

勒索軟體駭客對於虛擬化平臺的攻擊行動，先前已有資安業者提出警告，REvil、RansomExx、DarkSide、HelloKitty等駭客組織，都發展出針對VMware ESXi的勒索軟體。而最近有新的勒索軟體攻擊鎖定這類平臺，並且用相當快的速度加密檔案。資安業者Sophos在10月5日揭露一起使用Python指令碼（Script）的勒索軟體攻擊事故，攻擊者使用這些指令碼，鎖定組織內VMware ESXi環境，加密所有的虛擬磁碟。

使用遠端連線軟體TeamViewer入侵

研究人員指出攻擊者是透過未採用雙因素驗證的TeamViewer帳號，進入這個受害組織，並於背景中執行。而這個帳號的層級，是具備網域管理員權限的使用者。攻擊者約於凌晨零時30分登入，並在10分鐘後執行名為Advanced IP Scanner的工具，來探索目標組織的網路環境。但攻擊者取得管理者TeamViewer帳密的方法為何？Sophos沒有說明。



另一個關鍵：ESXi Shell

在接近凌晨2時的時候，攻擊者透過上述的IP位址掃描工具，找到組織裡的VMware ESXi伺服器，便下載名為Bitvise的SSH用戶端軟體來存取VMware ESXi伺服器。攻擊者能藉由SSH軟體存取此虛擬化平臺的前提，在於管理者必須啟用名為ESXi Shell的SSH服務，而這項服務預設為關閉，但為何受害組織會啟用ESXi Shell？Sophos根據調查結果指出，該組織的IT團隊會使用這項功能來管理VMware ESXi，他們看到在攻擊發生前啟用與停用該功能數次，但在最近一次開啟ESXi Shell之後，IT人員並未停用這項存取機制，而被攻擊者掌握並予以利用。不過，該組織沒有關閉ESXi Shell的原因，Sophos並未進一步說明。





詳情：
https://www.ithome.com.tw/news/147136