Hypervisors worden steeds meer slachtoffer van ransomwareaanvallen.
Onderzoekers van beveiligingsbedrijf Huntress slaan alarm over een scherpe stijging van ransomwareaanvallen op hypervisors, weet The Register. In de eerste helft van het jaar kwam slechts drie procent van de ransomware-incidenten via de hypervisor, maar in het najaar is dat opgelopen tot 25 procent.
Hypervisors als blinde vlek
Volgens Huntress richten aanvallers zich op hypervisors die niet goed beveiligd zijn. Een succesvolle aanval geeft aanvallers de mogelijkheid om volledige VM-omgevingen te manipuleren of versleutelen. In sommige gevallen gebruiken ze ingebouwde tools zoals OpenSSL om virtuele schijven te versleutelen, zonder dat er eigen malware moet worden geïnstalleerd.
Huntress meldt dat aanvallers vaak eerst netwerktoegang bemachtigen en vervolgens gestolen logingegevens gebruiken om hypervisors over te nemen. Dan worden Hyper-V-hulpmiddelen misbruikt om VM-instellingen aan te passen, beveiligingsfuncties uit te schakelen en virtuele switches te manipuleren om ransomware op grote schaal te kunnen uitrollen.
MFA & patchen
De onderzoekers raden bedrijven aan om sterke wachtwoorden en multifactorauthenticatie in te stellen, maar ook om op tijd te patchen. Daarnaast pleiten ze voor betere hostbeveiliging en logboeken te verwerken en analyseren.