研究人员发现虚拟机管理程序勒索软件攻击激增700%

安全软件供应商Huntress的研究人员表示，他们注意到针对虚拟机管理程序的勒索软件攻击大幅增加，并敦促用户确保系统尽可能安全并进行适当备份。

高级狩猎与响应分析师Anna Pham、技术客户经理Ben Bernstein和狩猎与响应高级经理Dray Agha在周一发布的文章中写道："Huntress案例数据显示虚拟机管理程序勒索软件出现惊人激增：其在恶意加密中的占比从上半年的仅3%飙升至下半年迄今为止的25%。"

三位研究人员警告说："推动这一趋势的主要参与者是Akira勒索软件组织。"他们补充说，该组织和其他攻击者正在攻击虚拟机管理程序，"试图绕过终端和网络安全控制。"

Huntress的威胁猎手认为，勒索软件攻击者之所以针对虚拟机管理程序，是因为它们防护不足，破解它们意味着攻击者可以操控其管理的虚拟机和网络。

研究人员写道："这种转变突显了一个日益增长且令人担忧的趋势：攻击者正在瞄准控制所有主机的基础设施，通过访问虚拟机管理程序，对手大大放大了其入侵的影响。"

三位研究人员写道，对虚拟机管理程序的攻击遵循"熟悉的套路"。"我们在VPN设备攻击中见过这种情况：威胁行为者意识到主机操作系统通常是专有的或受限制的，这意味着防御者无法安装关键的安全控制措施，如EDR（终端检测和响应）。这造成了重大盲点。"

Huntress观察到"多起勒索软件运营商直接通过虚拟机管理程序部署勒索软件载荷，完全绕过传统终端保护的案例。在某些情况下，攻击者利用内置工具如OpenSSL对虚拟机卷进行加密，避免了上传自定义勒索软件二进制文件的需要。"

研究人员还看到攻击者攻陷网络、窃取身份验证凭据，然后瞄准虚拟机管理程序。他们补充说："我们看到Hyper-V管理工具被滥用来修改虚拟机设置并破坏安全功能。这包括禁用终端防御、篡改虚拟交换机，以及为大规模部署勒索软件准备虚拟机。"

鉴于对虚拟机管理程序攻击级别的提升，研究人员建议管理员重新审视一些信息安全基础措施，如确保使用多因素身份验证和复杂密码，并及时更新补丁。他们还建议采用一些特定于虚拟机管理程序的防御措施，如使用仅允许白名单二进制文件在主机上运行的设置。

确保安全信息和事件管理系统摄取和分析虚拟机管理程序日志也在研究人员的待办事项清单上。

信息安全专家几十年来一直知道虚拟机管理程序是一个非常诱人的目标，特别是在虚拟机逃逸攻击成功的最坏情况下，对客户虚拟机的攻击可以接管主机及其虚拟机管理程序。如果这种攻击成为可能，后果可能是巨大的，因为所有超大规模云都依赖虚拟机管理程序来隔离租户的虚拟机。

Q&A

Q1：Akira勒索软件组织为什么要攻击虚拟机管理程序？

A：Akira勒索软件组织攻击虚拟机管理程序主要是为了绕过终端和网络安全控制。虚拟机管理程序通常防护不足，攻击者破解后可以操控其管理的虚拟机和网络，大大放大入侵影响。

Q2：虚拟机管理程序勒索软件攻击有什么特点？

A：攻击者直接通过虚拟机管理程序部署勒索软件，完全绕过传统终端保护。他们利用内置工具如OpenSSL进行加密，避免上传自定义勒索软件。还会滥用管理工具修改虚拟机设置，禁用安全功能。

Q3：如何防护虚拟机管理程序免受勒索软件攻击？

A：建议采用多因素身份验证和复杂密码，及时更新补丁。使用白名单设置仅允许授权二进制文件运行。确保安全信息和事件管理系统能够摄取分析虚拟机管理程序日志，建立完善的监控和防御机制。