針對 VMware ESXi 基礎架構的勒索軟件攻擊無論部署何種文件加密惡意軟件，都遵循一種既定模式。

網絡安全公司Sygnia在與《黑客新聞》共享的一份報告中提到：虛擬化平臺是組織IT基礎設施的核心組成部分，但它們往往存在固有的錯誤配置和漏洞，這使它們成為威脅行為者有利可圖和高度有效的濫用目標。

這家以色列公司通過對LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat和Cheerscrypt等各種勒索軟件家族的事件響應工作發現，對虛擬化環境的攻擊遵循類似的行動順序。

這包括以下步驟：

• 通過網絡釣魚攻擊、惡意文件下載和利用面向互聯網資產的已知漏洞獲取初始訪問權限
• 利用暴力攻擊或其他方法提升權限，獲取 ESXi 主機或 vCenter 的憑證
• 驗證他們對虛擬化基礎架構的訪問權限并部署勒索軟件
• 刪除或加密備份系統，或在某些情況下更改密碼，使恢復工作復雜化
• 將數據滲出到外部位置，如 Mega.io、Dropbox 或他們自己的托管服務
• 啟動勒索軟件的執行以加密 ESXi 文件系統的"/vmfs/volumes "文件夾
• 將勒索軟件傳播到非虛擬化服務器和工作站，以擴大攻擊范圍

為降低此類威脅帶來的風險，建議企業確保實施充分的監控和日志記錄，創建強大的備份機制，執行強有力的身份驗證措施，加固環境，并實施網絡限制以防止橫向移動。

網絡安全公司 Rapid7 警告稱，自 2024 年 3 月初以來，該公司一直在利用常用搜索引擎上的惡意廣告，通過錯別字域名分發 WinSCP 和 PuTTY 的木馬安裝程序，并最終安裝勒索軟件。

這些偽裝安裝程序充當了投放 Sliver 后期漏洞工具包的渠道，該工具包隨后被用于投放更多有效載荷，包括用于部署勒索軟件的 Cobalt Strike Beacon。

該活動與之前的 BlackCat 勒索軟件攻擊在戰術上有共同之處，后者使用惡意廣告作為初始訪問載體，是交付氮氣惡意軟件的重復性活動的一部分。

安全研究員Tyler McGraw說：該活動一定程度上影響了 IT 團隊的成員，他們最有可能在尋找合法版本的同時下載木馬文件。

勒索軟件攻擊

惡意軟件一旦被成功執行可能會為威脅行為者提供更多便利，讓其通過模糊后續管理操作的意圖來阻礙分析。

此次攻擊也是繼Beast、MorLock、Synapse和Trinity等新勒索軟件家族出現后的又一次最新事件披露，其中MorLock家族廣泛針對俄羅斯公司，并在不先外泄文件的情況下對文件進行加密。

Group-IB在俄羅斯的分支機構F.A.C.C.T.表示：為了恢復數據訪問，MorLock攻擊者要求支付相當高的贖金，贖金數額可達數千萬或數億盧布。

根據 NCC 集團共享的數據，2024 年 4 月全球勒索軟件攻擊比上月下降了 15%，從 421 起降至 356 起。

值得注意的是，2024 年 4 月也標志著 LockBit 結束了長達 8 個月的受害者最多的威脅行為體統治，這也說明了其在今年早些時候執法部門大舉打擊后的艱難生存狀況。

然而，令人驚訝的是，LockBit 3.0 并不是本月最突出的威脅組織，其觀察到的攻擊次數還不到 3 月份的一半。反倒Play 成為了最活躍的威脅組織，緊隨其后的是 Hunters。

除了勒索軟件領域的動蕩之外，網絡犯罪分子還在宣傳隱藏的虛擬網絡計算（hVNC）和遠程訪問服務，如 Pandora 和 TMChecker，這些服務可被用于數據外滲、部署額外的惡意軟件和促進勒索軟件攻擊。

Resecurity表示：多個初始訪問代理（IAB）和勒索軟件操作員使用 TMChecker 來檢查可用的受損數據，以確定是否存在企業VPN和電子郵件賬戶的有效憑證。

因此，TMChecker 的同時崛起意義重大，因為它大大降低了那些希望獲得高影響力企業訪問權限的威脅行為者的進入成本門檻，這些訪問權限既可以用于初次利用，也可以在二級市場上出售給其他對手。