Nieuwe MichaelKors-ransomware richt zich op ESXi en Linux

Vanwege de populariteit van VMware op het gebied van virtualisatie en de prominente plaats in de IT-systemen van veel organisaties, hun virtuele infrastructuurproducten zijn zeer aantrekkelijke doelen geworden voor aanvallers. Deze toename van aanvallen is te wijten aan een gebrek aan beveiligingstools, onvoldoende netwerksegmentatie van ESXi-interfaces, en ITW-kwetsbaarheden voor ESXi.

Nieuwe ransomware gericht op ESXi gedetecteerd in het wild

In april 2023, CrowdStrike Intelligence ontdekte een nieuw RaaS-programma genaamd MichaelKors dat binaire bestanden met ransomware levert aan Windows- en ESXi/Linux-systemen. Andere RaaS-tools, zoals de Nevada-ransomware, zijn ook ontwikkeld om zich te richten op ESXi-omgevingen.

MichaelKors lijkt een ransomware-as-a-service project. RaaS is een bedrijfsmodel dat is ontwikkeld door ransomware-operators om partners aan te trekken. Met dit model kunnen affiliates makers van malware betalen om ransomware-aanvallen uit te voeren. RaaS is gebaseerd op het populaire software-as-a-service IT-bedrijfsmodel, ontleent zijn naam en concept aan dat model.

MichaelKors is niet de eerste ransomware die zich richt op ESXi- en Linux-servers. Eerdere recente voorbeelden zijn onder meer ESXiArgs, Luna, en ProostCrypt.

In februari 2023, CERT-FR meldde dat de ESXiArgs-ransomwarecampagne actief misbruik maakte van twee kwetsbaarheden - CVE-2020-3992 en CVE-2021-21974 - gericht op onbeveiligde VMware ESXi-hypervisors. Deze kwetsbaarheden maken een niet-geverifieerde, netwerk-aangrenzende tegenstander om willekeurige code uit te voeren op getroffen VMware ESXi-instanties. Ondanks dat het een bekende bedreiging is, dit is de eerste keer dat CVE-2021-21974 in het wild wordt uitgebuit (ITW). Dit komt door het gebrek aan beveiligingstools en ondersteuning voor ESXi, CrowdStrike wees erop.