Ransomware hypervisor adalah jenis perangkat lunak berbahaya (malware) yang secara khusus menargetkan hypervisor (perangkat lunak yang mengelola mesin virtual atau VM) alih-alih sistem operasi tunggal. Serangan ini mengenkripsi seluruh mesin virtual dan infrastruktur virtualisasi yang berjalan di atas hypervisor, sehingga melumpuhkan banyak sistem sekaligus dan menuntut tebusan untuk pemulihan akses.
Cara Kerja
Ransomware hypervisor bekerja dengan cara yang berbeda dari ransomware tradisional:
- Akses Awal: Penyerang biasanya mendapatkan akses ke jaringan melalui metode umum seperti email phishing, eksploitasi kerentanan perangkat lunak yang belum ditambal (seperti pada VMware ESXi), atau melalui Remote Desktop Protocol (RDP) yang lemah.
- Pergerakan Lateral: Setelah masuk, penyerang bergerak untuk mendapatkan kontrol administratif penuh atas server fisik tempat hypervisor berjalan.
- Enkripsi: Alih-alih menginfeksi setiap VM satu per satu, ransomware ini mengenkripsi file VM (seperti file .vmdk di VMware) langsung dari tingkat hypervisor. Hal ini membuat semua VM yang dikelola oleh hypervisor tersebut tidak dapat diakses.
- Tebusan: Pesan tebusan kemudian ditampilkan, meminta pembayaran (biasanya dalam cryptocurrency seperti Bitcoin) sebagai imbalan atas kunci dekripsi.
Risiko dan Dampak
- Dampak Luas: Satu serangan ransomware hypervisor dapat melumpuhkan seluruh pusat data atau infrastruktur TI perusahaan yang bergantung pada virtualisasi, menyebabkan kerugian operasional yang signifikan.
- Deteksi Sulit: Karena ransomware beroperasi pada tingkat hypervisor, ia seringkali berada di luar jangkauan solusi keamanan endpoint (EDR) tradisional yang hanya memantau di dalam VM tamu.
Perlindungan dan Pencegahan
- Pembaruan Perangkat Lunak: Sangat penting untuk menjaga hypervisor dan semua perangkat lunak terkait tetap mutakhir dengan patch keamanan terbaru untuk menutup kerentanan yang diketahui.
- Pencadangan Data (Backup): Lakukan pencadangan data secara teratur dan simpan di lokasi yang aman (terisolasi dari jaringan utama) untuk memungkinkan pemulihan tanpa membayar tebusan.
- Kontrol Akses yang Kuat: Terapkan kontrol akses yang ketat, gunakan kata sandi yang kuat dan unik, serta aktifkan otentikasi multi-faktor (MFA).
- Edukasi Pengguna: Latih karyawan untuk mengenali taktik phishing dan menghindari tautan atau lampiran email yang mencurigakan.
Para peneliti Microsoft telah menemukan kerentanan pada hypervisor ESXi yang dieksploitasi oleh beberapa operator ransomware untuk mendapatkan izin administratif penuh pada hypervisor ESXi yang terhubung ke domain. ESXi adalah hypervisor bare-metal yang diinstal langsung pada server fisik dan menyediakan akses dan kontrol langsung terhadap sumber daya yang mendasarinya. Hypervisor ESXi menampung mesin virtual yang mungkin termasuk server penting dalam jaringan. Dalam serangan ransomware, memiliki izin administratif penuh pada hypervisor ESXi dapat berarti bahwa pelaku ancaman dapat mengenkripsi sistem file, yang dapat memengaruhi kemampuan server yang dihosting untuk berjalan dan berfungsi. Hal ini juga memungkinkan pelaku ancaman untuk mengakses VM yang dihosting dan mungkin untuk mengeksfiltrasi data atau bergerak secara lateral di dalam jaringan.
Kerentanan tersebut, yang diidentifikasi sebagai CVE-2024-37085 , melibatkan grup domain yang anggotanya diberikan akses administratif penuh ke hypervisor ESXi secara default tanpa validasi yang tepat. Microsoft mengungkapkan temuan tersebut kepada VMware melalui Coordinated Vulnerability Disclosure (CVD) melalui Microsoft Security Vulnerability Research (MSVR), dan VMware merilis pembaruan keamanan . Microsoft merekomendasikan administrator server ESXi untuk menerapkan pembaruan yang dirilis oleh VMware untuk melindungi server mereka dari serangan terkait, dan untuk mengikuti panduan mitigasi dan perlindungan yang kami berikan dalam posting blog ini. Kami berterima kasih kepada VMware atas kerja sama mereka dalam mengatasi masalah ini.
Informasi perlindungan
Postingan blog ini menyajikan analisis CVE-2024-37085, serta detail serangan yang diamati oleh Microsoft untuk mengeksploitasi kerentanan tersebut. Kami membagikan riset ini untuk menekankan pentingnya kolaborasi antara peneliti, vendor, dan komunitas keamanan untuk terus memajukan pertahanan bagi ekosistem yang lebih luas. Sebagai bagian dari komitmen Microsoft untuk meningkatkan keamanan bagi semua, kami akan terus berbagi informasi dan bekerja sama dengan komunitas keamanan untuk membantu melindungi pengguna dan organisasi di berbagai platform.
Analisis kerentanan CVE-2024-37085
Peneliti keamanan Microsoft mengidentifikasi teknik pasca-kompromi baru yang digunakan oleh operator ransomware seperti Storm-0506, Storm-1175, Octo Tempest, dan Manatee Tempest dalam berbagai serangan. Dalam beberapa kasus, penggunaan teknik ini telah menyebabkan penyebaran ransomware Akira dan Black Basta. Teknik ini mencakup menjalankan perintah berikut, yang menghasilkan pembuatan grup bernama "ESX Admins" di domain dan menambahkan pengguna ke dalamnya:
grup jaringan “Admin ESX” /domain /add
grup jaringan “Admin ESX” nama pengguna /domain /tambah
Saat menyelidiki serangan dan perilaku yang dijelaskan, peneliti Microsoft menemukan bahwa tujuan pelaku ancaman menggunakan perintah ini adalah untuk memanfaatkan kerentanan pada hypervisor ESXi yang terhubung ke domain, yang memungkinkan pelaku ancaman untuk meningkatkan hak akses mereka ke akses administratif penuh pada hypervisor ESXi. Temuan ini dilaporkan sebagai bagian dari pengungkapan kerentanan kepada VMware awal tahun ini.
Analisis lebih lanjut terhadap kerentanan tersebut mengungkapkan bahwa hypervisor VMware ESXi yang tergabung dalam domain Active Directory menganggap setiap anggota grup domain bernama “ESX Admins” memiliki akses administratif penuh secara default. Grup ini bukan grup bawaan di Active Directory dan tidak ada secara default. Hypervisor ESXi tidak memvalidasi keberadaan grup tersebut saat server tergabung dalam domain dan tetap memperlakukan setiap anggota grup dengan nama tersebut dengan akses administratif penuh, bahkan jika grup tersebut awalnya tidak ada. Selain itu, keanggotaan dalam grup ditentukan berdasarkan nama dan bukan berdasarkan pengidentifikasi keamanan (SID).
Para peneliti Microsoft mengidentifikasi tiga metode untuk mengeksploitasi kerentanan ini:
- Menambahkan grup “ESX Admins” ke domain dan menambahkan pengguna ke dalamnya – Metode ini secara aktif dieksploitasi di lapangan oleh pelaku ancaman yang disebutkan di atas. Dalam metode ini, jika grup “ESX Admins” tidak ada, setiap pengguna domain yang memiliki kemampuan untuk membuat grup dapat meningkatkan hak akses ke akses administratif penuh ke hypervisor ESXi yang tergabung dalam domain dengan membuat grup tersebut, dan kemudian menambahkan diri mereka sendiri, atau pengguna lain yang berada di bawah kendali mereka, ke grup tersebut.
- Mengubah nama grup apa pun di domain menjadi “ESX Admins” dan menambahkan pengguna ke grup atau menggunakan anggota grup yang sudah ada – Metode ini mirip dengan yang pertama, tetapi dalam hal ini pelaku ancaman membutuhkan pengguna yang memiliki kemampuan untuk mengubah nama beberapa grup sembarangan dan mengubah nama salah satunya menjadi “ESX Admins”. Pelaku ancaman kemudian dapat menambahkan pengguna atau menggunakan pengguna yang sudah ada di grup tersebut, untuk meningkatkan hak akses ke akses administratif penuh. Metode ini belum pernah diamati oleh Microsoft.
- Penyegaran hak akses hypervisor ESXi – Bahkan jika administrator jaringan menetapkan grup lain di domain sebagai grup manajemen untuk hypervisor ESXi, hak akses administratif penuh kepada anggota grup "ESX Admins" tidak langsung dicabut dan pelaku ancaman masih dapat menyalahgunakannya. Metode ini belum pernah diamati oleh Microsoft.
Eksploitasi yang berhasil mengarah pada akses administratif penuh ke hypervisor ESXi, memungkinkan pelaku ancaman untuk mengenkripsi sistem file hypervisor, yang dapat memengaruhi kemampuan server yang dihosting untuk berjalan dan berfungsi. Hal ini juga memungkinkan pelaku ancaman untuk mengakses VM yang dihosting dan mungkin untuk mengeksfiltrasi data atau bergerak secara lateral di dalam jaringan .
Operator ransomware menargetkan hypervisor ESXi.
RANSOMWARE DAN PEMERASAN
Selama tahun lalu, kita telah melihat pelaku ransomware menargetkan hypervisor ESXi untuk memfasilitasi dampak enkripsi massal hanya dengan beberapa klik, yang menunjukkan bahwa operator ransomware terus berinovasi dalam teknik serangan mereka untuk meningkatkan dampak pada organisasi yang mereka targetkan.
ESXi adalah produk populer di banyak jaringan perusahaan, dan dalam beberapa tahun terakhir, kami telah mengamati hypervisor ESXi menjadi target favorit bagi pelaku ancaman. Hypervisor ini bisa menjadi target yang mudah jika operator ransomware ingin tetap berada di bawah radar SOC karena faktor-faktor berikut:
- Banyak produk keamanan memiliki visibilitas dan perlindungan yang terbatas untuk hypervisor ESXi.
- Enkripsi sistem file hypervisor ESXi memungkinkan enkripsi massal sekali klik, karena VM yang dihosting akan terpengaruh. Hal ini dapat memberi operator ransomware lebih banyak waktu dan kompleksitas dalam pergerakan lateral dan pencurian kredensial pada setiap perangkat yang mereka akses.
Oleh karena itu, banyak pelaku ancaman ransomware seperti Storm-0506, Storm-1175, Octo Tempest, Manatee Tempest, dan lainnya mendukung atau menjual enkriptor ESXi seperti Akira, Black Basta, Babuk, Lockbit, dan Kuiper (Gambar 1). Jumlah keterlibatan Microsoft Incident Response (Microsoft IR) yang melibatkan penargetan dan dampak pada hypervisor ESXi telah meningkat lebih dari dua kali lipat dalam tiga tahun terakhir.
Sumber : https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/