Ny MichaelKors Ransomware er rettet mod ESXi og Linux

På grund af VMwares popularitet inden for virtualiseringsområdet og dets fremtrædende plads i mange organisationers it-systemer, deres virtuelle infrastrukturprodukter er blevet yderst attraktive mål for angribere. Denne stigning i angreb skyldes mangel på sikkerhedsværktøjer, utilstrækkelig netværkssegmentering af ESXi-grænseflader, og ITW-sårbarheder for ESXi.

Ny ransomware målrettet ESXi opdaget i naturen

I april 2023, CrowdStrike Intelligence opdagede et nyt RaaS-program kaldet MichaelKors, der leverer ransomware binære filer til at målrette Windows og ESXi/Linux-systemer. Andre RaaS værktøjer, såsom Nevada ransomware, er også udviklet til at målrette ESXi-miljøer.

MichaelKors ser ud til at være en ransomware-as-a-service projekt. RaaS er en forretningsmodel udviklet af ransomware-operatører for at tiltrække tilknyttede virksomheder. Denne model giver tilknyttede virksomheder mulighed for at betale malware-skabere for at iværksætte ransomware-angreb. RaaS er baseret på den populære software-as-a-service it-forretningsmodel, tager sit navn og koncept fra den model.

MichaelKors er ikke den første ransomware, der er målrettet mod ESXi- og Linux-servere. Tidligere nyere eksempler omfatter ESXiArgs, Luna, og CheersCrypt.

I februar 2023, CERT-FR rapporterede, at ESXiArgs ransomware-kampagnen aktivt udnyttede to sårbarheder – CVE-2020-3992 og CVE-2021-21974 – målrettet mod usikrede VMware ESXi-hypervisorer. Disse sårbarheder tillader en uautoriseret, netværks-tilstødende modstander til at udføre vilkårlig kode på berørte VMware ESXi-instanser. På trods af at det er en kendt trussel, det er første gang, CVE-2021-21974 er blevet udnyttet i naturen (ITW). Dette skyldes manglen på sikkerhedsværktøjer og support til ESXi, CrowdStrike påpegede.