今年2月，國內(nèi)出現(xiàn)針對VMWare虛擬機平臺的新型勒索攻擊。有攻擊者通過“RansomExx” 勒索病毒（也稱“Defray777”），利用 VMWare ESXi 產(chǎn)品中的漏洞（CVE-2019-5544、CVE-2020-3992），對虛擬硬盤的文件進行加密，造成大量虛擬機關閉，虛擬處于關機，并處于無法連接狀態(tài)，用戶生產(chǎn)環(huán)境停線等嚴重問題。

　　據(jù)國外安全公司CrowdStrike披露，“RansomExx”勒索病毒近期完成了新一輪更新，集成了VMWare最新披露的三個嚴重漏洞的利用代碼，并有兩個勒索軟件團伙開始使用。

　　VMware公司近日修復了虛擬化產(chǎn)品中的三項關鍵漏洞。其中包括一個ESXi裸機管理程序內(nèi)的堆緩沖區(qū)溢出漏洞（CVE-2021-21974），一個可在托管vCenter Server底層基礎設施中執(zhí)行任意命令的漏洞（CVE-2021-21972）。

　　補丁發(fā)布之后，CrowdStrike研究團隊發(fā)現(xiàn)，Carbon Spider與Sprite Spider兩個勒索軟件團伙馬上更新了攻擊工具，對未及時更新的ESXi虛擬機管理程序發(fā)動入侵。這兩個團伙此前曾經(jīng)發(fā)動過多起大規(guī)模勒索軟件攻擊，主要攻擊Windows系統(tǒng)。

　　不少使用ESXi服務器托管業(yè)務系統(tǒng)的公司迅速淪為受害者。更糟糕的是，ESXi本身充當著各類系統(tǒng)的承載平臺，控制它的黑客往往能夠相對輕松地進一步入侵企業(yè)的其它系統(tǒng)。

　　此前有消息稱，自從VMware發(fā)布針對三項漏洞的修復程序之后，網(wǎng)絡犯罪團伙就開始積極掃描那些未經(jīng)補丁修復的VMware vCenter服務器，希望借此找到新的潛在入侵目標。

　　CrowdStrike研究團隊表示，“通過在ESXi上部署勒索軟件，Sprite Spider與Carbon Spider可能不再滿足于原有Windows勒索軟件，而是打算給受害者更沉重的一擊?！?/p>

　　“只要對一臺ESXi服務器進行加密鎖定，其效果就相當于在該服務器上的各虛擬機內(nèi)分別部署勒索軟件。因此，這種以ESXi主機為目標的攻擊手法極大提升了「狩獵游戲」的推進速度?！?/p>

　　“一旦對ESXi服務器開展的這些勒索軟件攻擊取得成功，恐怕在未來一段時間內(nèi)，會有更多惡意團伙將矛頭指向此類虛擬化基礎設施?！?/p>

　　Sprite Spider通常會先使用Defray777病毒發(fā)動小規(guī)?！搬鳙C游戲”攻擊，在竊取受害者數(shù)據(jù)及加密文件之前嘗試破壞域控制器。

　　另一方面，Carbon Spider則一直將POS機設備作為攻擊目標，而且習慣于通過網(wǎng)絡釣魚攻擊奪取初始訪問權限。但從去年4月開始，他們突然改變了攻擊模式，轉為向眾多受害者發(fā)動大規(guī)模非針對性攻擊。他們還在2020年8月使用了自己開發(fā)的病毒Darkside。

　　這兩種病毒都會積極收集在vCenter Web界面上用于身份驗證的憑證，借此入侵ESXi系統(tǒng)。而一旦獲得憑證，攻擊方即可控制ESXi設備上的多種集中式服務器管理工具。

　　在接入vCenter之后，Sprite Spider會建立SSH連接以保持對ESXi設備的持久訪問，并在特定情況下更改root密碼或主機SSH密鑰。而Carbon Spider則使用合法憑證訪問vCenter，同時配合Plink工具通過SSH登錄以投放Darkside勒索軟件。

　　VMware公司發(fā)言人在采訪中表示，“根據(jù)VMware公開做出的責任承諾，我們已經(jīng)發(fā)布一項安全公告，其中包含針對此次安全問題的修復與緩解方法，希望幫助我們的客戶免受攻擊。”

　　“按照最佳實踐的指引，VMware強烈建議所有客戶針對實際環(huán)境應用我們提供的最新產(chǎn)品更新、安全補丁與緩解措施，而且最好能在安全可靠的配置基礎之上部署VMware產(chǎn)品?！?/p>