安全软件供应商Huntress的研究人员表示,他们注意到针对虚拟机管理程序的勒索软件攻击大幅增加,并敦促用户确保系统尽可能安全并进行适当备份。
高级狩猎与响应分析师Anna Pham、技术客户经理Ben Bernstein和狩猎与响应高级经理Dray Agha在周一发布的文章中写道:"Huntress案例数据显示虚拟机管理程序勒索软件出现惊人激增:其在恶意加密中的占比从上半年的仅3%飙升至下半年迄今为止的25%。"
三位研究人员警告说:"推动这一趋势的主要参与者是Akira勒索软件组织。"他们补充说,该组织和其他攻击者正在攻击虚拟机管理程序,"试图绕过终端和网络安全控制。"
Huntress的威胁猎手认为,勒索软件攻击者之所以针对虚拟机管理程序,是因为它们防护不足,破解它们意味着攻击者可以操控其管理的虚拟机和网络。
研究人员写道:"这种转变突显了一个日益增长且令人担忧的趋势:攻击者正在瞄准控制所有主机的基础设施,通过访问虚拟机管理程序,对手大大放大了其入侵的影响。"
三位研究人员写道,对虚拟机管理程序的攻击遵循"熟悉的套路"。"我们在VPN设备攻击中见过这种情况:威胁行为者意识到主机操作系统通常是专有的或受限制的,这意味着防御者无法安装关键的安全控制措施,如EDR(终端检测和响应)。这造成了重大盲点。"
Huntress观察到"多起勒索软件运营商直接通过虚拟机管理程序部署勒索软件载荷,完全绕过传统终端保护的案例。在某些情况下,攻击者利用内置工具如OpenSSL对虚拟机卷进行加密,避免了上传自定义勒索软件二进制文件的需要。"
研究人员还看到攻击者攻陷网络、窃取身份验证凭据,然后瞄准虚拟机管理程序。他们补充说:"我们看到Hyper-V管理工具被滥用来修改虚拟机设置并破坏安全功能。这包括禁用终端防御、篡改虚拟交换机,以及为大规模部署勒索软件准备虚拟机。"
鉴于对虚拟机管理程序攻击级别的提升,研究人员建议管理员重新审视一些信息安全基础措施,如确保使用多因素身份验证和复杂密码,并及时更新补丁。他们还建议采用一些特定于虚拟机管理程序的防御措施,如使用仅允许白名单二进制文件在主机上运行的设置。
确保安全信息和事件管理系统摄取和分析虚拟机管理程序日志也在研究人员的待办事项清单上。
信息安全专家几十年来一直知道虚拟机管理程序是一个非常诱人的目标,特别是在虚拟机逃逸攻击成功的最坏情况下,对客户虚拟机的攻击可以接管主机及其虚拟机管理程序。如果这种攻击成为可能,后果可能是巨大的,因为所有超大规模云都依赖虚拟机管理程序来隔离租户的虚拟机。
Q&A
Q1:Akira勒索软件组织为什么要攻击虚拟机管理程序?
A:Akira勒索软件组织攻击虚拟机管理程序主要是为了绕过终端和网络安全控制。虚拟机管理程序通常防护不足,攻击者破解后可以操控其管理的虚拟机和网络,大大放大入侵影响。
Q2:虚拟机管理程序勒索软件攻击有什么特点?
A:攻击者直接通过虚拟机管理程序部署勒索软件,完全绕过传统终端保护。他们利用内置工具如OpenSSL进行加密,避免上传自定义勒索软件。还会滥用管理工具修改虚拟机设置,禁用安全功能。
Q3:如何防护虚拟机管理程序免受勒索软件攻击?
A:建议采用多因素身份验证和复杂密码,及时更新补丁。使用白名单设置仅允许授权二进制文件运行。确保安全信息和事件管理系统能够摄取分析虚拟机管理程序日志,建立完善的监控和防御机制。
好文章,需要你的鼓励
美国最高法院以6比3的投票结果,裁定手机位置信息受第四修正案隐私权保护。法院认为,用户在使用谷歌等科技公司服务时,并非主动共享位置数据,因此执法机构在申请地理围栏搜查令时,必须证明存在"合理犯罪嫌疑"并获得法院批准。此裁决虽未完全禁止地理围栏搜查令,但对其使用范围加以限制,对美国执法实践及隐私保护具有深远影响。
南加州大学团队发现语音抑郁检测领域存在数据漏洞,并提出CLeaD跨语言对比对齐框架,揭示模型规模越大跨语言性能越差的反直觉规律。
佛罗里达州男子Angelo Martino以网络安全公司勒索软件谈判员身份为掩护,与黑客合谋部署BlackCat勒索软件攻击美国企业,被判处逾五年有期徒刑。美国司法部同时没收其逾1000万美元加密货币及资产。Martino与Kevin Martin、Ryan Goldberg三人于2023年联手实施多起攻击,其中一次成功勒索约120万美元后三人平分。BlackCat曾于2024年2月入侵医疗巨头Change Healthcare,导致逾1.92亿人敏感数据外泄。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。