Biến thể ransomware Helldown nhắm vào hệ thống VMware ESXi
Giới thiệu
Vào tháng 8 năm 2024, một biến thể mới của ransomware có tên "Helldown" đã xuất hiện, nhắm mục tiêu vào các hệ thống sử dụng máy chủ VMware ESXi. Đây được cho là một biến thể của LockBit, một trong những nhóm ransomware nổi tiếng và nguy hiểm nhất hiện nay. Helldown đã gây ra hơn hai chục vụ tấn công và có khả năng sẽ tiếp tục tấn công nhiều nạn nhân khác trong tương lai gần.
Phương thức tấn công
Nhóm đứng sau Helldown đã khai thác các lỗ hổng trong tường lửa Zyxel, đặc biệt là khi các tường lửa này được sử dụng làm điểm truy cập VPN IPSec. Các nhà nghiên cứu bảo mật tại Sekoia đã báo cáo rằng các lỗ hổng này có thể chưa được công bố rộng rãi, điều này làm tăng nguy cơ bị tấn công cho các hệ thống chưa được vá lỗi. Zyxel đã phát hành các bản vá cho nhiều lỗ hổng sau khi bị tấn công vào tháng 8, dẫn đến việc rò rỉ 250GB dữ liệu.
Mục tiêu và hậu quả
Helldown chủ yếu nhắm vào các doanh nghiệp nhỏ và vừa trong nhiều lĩnh vực như vận tải, sản xuất, chăm sóc sức khỏe, viễn thông và dịch vụ CNTT. Nhóm này được mô tả là rất hung hãn, có khả năng gây ra sự gián đoạn lớn và tổn thất tài chính cho nạn nhân. Họ thường đánh cắp lượng lớn dữ liệu và đe dọa rò rỉ nếu không nhận được tiền chuộc. Điều này không chỉ gây thiệt hại về tài chính mà còn ảnh hưởng nghiêm trọng đến uy tín của các tổ chức bị tấn công.
Chiến thuật và công cụ
Helldown sử dụng các công cụ hợp pháp và kỹ thuật "living-off-the-land" để thực hiện nhiệm vụ trên mạng bị xâm nhập. Họ thường xóa các công cụ đã sử dụng trong quá trình tấn công và ghi đè không gian đĩa trống để cản trở quá trình khôi phục dữ liệu. Các công cụ như TeamViewer, RDP, PowerShell, và Mimikatz được sử dụng để di chuyển ngang và thực thi mã từ xa. Điều này cho phép họ duy trì sự hiện diện trong hệ thống bị xâm nhập mà không bị phát hiện trong thời gian dài.
Khuyến nghị
Để bảo vệ hệ thống VMware ESXi khỏi các cuộc tấn công ransomware như Helldown, các tổ chức cần thực hiện một loạt các biện pháp bảo mật tiên tiến và toàn diện. Dưới đây là một số khuyến nghị chi tiết:
- Sử dụng TPM 2.0 và Secure Boot: TPM 2.0 là một chip phần cứng giúp lưu trữ các khóa và thông tin bảo mật một cách an toàn. Kết hợp với Secure Boot, một tính năng của BIOS UEFI, giúp đảm bảo rằng chỉ có mã đã được ký số mới được tải khi khởi động. Điều này ngăn chặn các mã độc hại không được phép chạy trên hệ thống ESXi.
- Cấu hình execInstalledOnly: Thiết lập này ngăn chặn việc thực thi mã tùy chỉnh bên trong ESXi, chỉ cho phép các gói VIB đã được ký số từ các đối tác được chứng nhận chạy. Điều này giúp bảo vệ hệ thống khỏi các mã độc hại có thể được tải lên và thực thi.
- Phân tách mạng và quản lý ứng dụng: Đảm bảo rằng các hệ thống quản lý như VMware ESXi không nằm trên cùng một VLAN với các hệ thống CNTT khác. Sử dụng VLAN để kiểm soát luồng dữ liệu vào và ra, giúp giảm thiểu khả năng ransomware lây lan qua mạng.
- Không kết nối vSphere với Active Directory: Mặc dù Active Directory giúp quản lý dễ dàng hơn, nhưng nó cũng có thể bị ransomware lợi dụng để tìm kiếm và tấn công các ứng dụng quản lý VMware ESXi. Việc không kết nối với AD giúp tăng thời gian phát hiện và xử lý các mối đe dọa.
- Thực hiện sao lưu phiên bản cho vDisks: Sao lưu không ngăn chặn được các cuộc tấn công ransomware, nhưng cho phép khôi phục dữ liệu sau khi bị tấn công. Thực hiện sao lưu phiên bản giúp đảm bảo rằng ngay cả khi một số bản sao lưu bị mã hóa, vẫn có thể khôi phục lại dữ liệu từ các bản sao lưu cũ hơn.
- Cập nhật và vá lỗi thường xuyên: Nhiều cuộc tấn công ransomware thành công do hệ thống không được vá lỗi kịp thời. Luôn áp dụng các bản vá bảo mật mới nhất để giảm thiểu nguy cơ bị tấn công.
