ESXi超虚拟机的安全威胁加剧

关键要点

• ESXi超虚拟机仍然是勒索软件团伙的重要目标；
• Babuk源代码泄露给威胁行为者提供了前所未有的见解；
• 研究表明，ESXiArgs活动与Babuk之间的联系并不明显；
• 有组织的勒索软件团伙开始使用Linux锁，因为其对ESXi的专注带来了显著优势；
• ESXi服务器的及时补丁管理是当下面临的一大挑战。

近年来的研究表明，ESXi超虚拟机仍然是勒索软件团伙的宝贵目标，而2021年9月泄露的源代码则为威胁行为者提供了前所未有的组织勒索软件开发操作的洞察。

在一篇中，SentinelLabs报告称，他们观察到2023年初基于Babuk的VMware ESXi勒索软件数量急剧增加。

然而，SentinelOne的威胁研究员AlexDelamotte表示，尽管其他研究人员声称今年2月的ESXiArgs活动是基于Babuk源代码，但SentinelOne的分析发现这一说法不太可能成立，因为ESXiArgs与Babuk之间唯一显著的相似之处在于，它们都使用相同的开源库来实现Sosemanuk流密码对文件进行加密。

“主要结论是，ESXi勒索软件仍然是一个热门目标，而泄露的Babuk源代码使所有技能水平的攻击者都能参与其中，”
Delamotte解释道。”ESXiArgs活动可能向更广泛的受众展示了ESXi锁的价值和影响，从而在2023年第一季度和第二季度推动了新Babuk类变种的增长。”

SentinelLabs表示，在过去两年中，有组织的勒索软件团伙开始采用Linux锁，包括ALPHV、BlackBasta、Conti、Lockbit和REvil。这些团伙在优先攻击ESXi环境的同时，利用ESXi超虚拟机中内置的工具关闭客户机，并加密关键超虚拟机文件。

同时，SentinelLabs还发现了ESXi勒索软件家族之间的意外联系，揭示了Babuk与一些更知名的团伙如Conti和REvil之间可能存在的关系。尽管与REvil的关系仍然不确定，SentinelLabs的研究人员称，Babuk、Conti和REvil可能将一个ESXi锁项目外包给同一开发者的可能性依然存在。

Kivu Consulting的托管安全服务总监DanPaulmeno指出，使用ESXi的公司是攻击的主要目标，尤其是在缺乏对于所用版本、网络中资产位置以及是否面向公共互联网的清楚了解的情况下。

“在这种情况下，许多通常不针对ESXi的勒索软件团队抓住了这个机会，因为相较于企业范围内的攻击，扫描和脚本部署的机会更为简单，” Paulmeno表示。

CraigBurland，inversion6的首席信息安全官补充道，这些新信息延续了网络犯罪分子对ESXi的攻击潮流，他们期望通过妥协主机来获得巨额利益。Burland表示，ESXiArgs攻击突出了ESXi面临的一大挑战：及时补丁。

“与单一应用程序相关的工作负载补丁通常需要IT与业务负责人之间的协商，”
Burland说道。“制定ESXi补丁计划通常会引发20个这样的对话，并促使企业质疑不应用每个更新的实际风险。”

Vulcan Cyber的高级技术工程师MikeParkin补充，深入了解网络犯罪组织的运作和代码开发方式总是令人着迷。Parkin表示，其他威胁行为者继续开发泄露的Babuk代码以满足自身需求是情有可原的。

“虽然Babuk的泄露可能对该特定团伙造成伤害，但这也成为其他威胁行为者在其攻击中融入新工具和技术的机会，” Parkin说。“对于防御者来说，这