Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Bisnis
  • Ransomware Incar Infrastruktur VMware ESXi
  • Ransomware
  • Sektor Bisnis

Ransomware Incar Infrastruktur VMware ESXi

3 min read
Ransomware Incar Infrastruktur VMware ESXi

image credit: Pixabay.com

Serangan Ransomware incar infrastruktur VMware ESXi diketahui mengikuti pola yang sudah ada, terlepas dari malware enkripsi file yang disebarkan.

Platform virtualisasi adalah komponen inti dari infrastruktur TI perusahaan, namun platform tersebut sering kali mengalami kesalahan konfigurasi dan kerentanan yang melekat, menjadikannya target yang menguntungkan dan sangat efektif untuk disalahgunakan oleh pelaku ancaman.

Melalui upaya respons insiden yang melibatkan berbagai keluarga ransomware seperti

  • LockBit.
  • HelloKitty.
  • BlackMatter.
  • RedAlert (N13V).
  • Scattered Spider.
  • Akira.
  • Cactus.
  • BlackCat.
  • Cheerscrypt.

Diketahui bahwa serangan dari ransomware di atas terhadap lingkungan virtualisasi semua mengikuti rangkaian tindakan yang serupa.

Baca juga: Mengurai Serangan Ransomware pada Server VMware

Langkah-langkah Serangan yang Dilakukan

Berikut adalah langkah-langkah yang dilakukan ransomware incar infrastruktur VMware ESXi:

  • Memperoleh akses awal melalui serangan phising, pengunduhan file berbahaya, dan eksploitasi kerentanan yang diketahui pada aset yang terhubung ke internet.
  • Meningkatkan hak istimewa mereka untuk mendapatkan kredensial untuk host ESXi atau vCenter menggunakan serangan brute force atau metode lainnya.
  • Memvalidasi akses mereka ke infrastruktur virtualisasi dan menggunakan ransomware.
  • Menghapus atau mengenkripsi sistem cadangan, atau dalam beberapa kasus, mengubah kata sandi, untuk mempersulit upaya pemulihan.
  • Mengeksfiltrasi data ke lokasi eksternal seperti Mega.io, Dropbox, atau layanan hosting mereka sendiri.
  • Memulai eksekusi ransomware untuk mengenkripsi folder “/vmfs/volumes” pada sistem file ESXi
  • Menyebarkan ransomware ke server dan stasiun kerja non-virtualisasi untuk memperluas cakupan serangan.

Untuk memitigasi risiko yang ditimbulkan oleh ancaman tersebut, perusahaan-perusahaan disarankan untuk:

  • Memastikan adanya pemantauan dan pencatatan yang memadai.
  • Menciptakan mekanisme cadangan yang kuat.
  • Menerapkan langkah-langkah otentikasi yang kuat.
  • Dan memperkuat lingkungan serta menerapkan pembatasan jaringan untuk mencegah pergerakan lateral.

Perkembangan tersebut seiring dengan operasi yang sedang berlangsung sejak awal Maret 2024 yang menggunakan iklan berbahaya di mesin pencari.

Yang umum digunakan untuk mendistribusikan penginstal trojan untuk WinSCP dan PuTTY melalui domain yang salah ketik dan pada akhirnya menginstal ransomware.

Pemasang palsu ini bertindak sebagai saluran untuk melepaskan perangkat pasca-eksploitasi Sliver, yang kemudian digunakan untuk mengirimkan lebih banyak muatan, termasuk Cobalt Strike Beacon yang dimanfaatkan untuk penyebaran ransomware.

Aktivitas ini memiliki taktik yang tumpang tindih dengan serangan ransomware BlackCat sebelumnya yang menggunakan malvertising sebagai vektor akses awal sebagai bagian dari kampanye berulang yang mengirimkan malware Nitrogen.

Kampanye ini secara tidak proporsional mempengaruhi anggota tim TI, yang kemungkinan besar mengunduh file trojan sambil mencari versi yang sah.

Baca juga: Serangan ESXiArgs pada Server VMware 101

Serangan Ransomware

Eksekusi malware yang berhasil kemudian memberikan pelaku pijakan yang lebih tinggi dan menghambat analisis dengan mengaburkan maksud dari tindakan administratif selanjutnya.

Pengungkapan ini juga menyusul munculnya keluarga ransomware baru seperti Beast, MorLock, Synapse, dan Trinity, dengan grup MorLock yang secara ekstensif memburu perusahaan-perusahaan Rusia dan mengenkripsi file tanpa mengeksfiltrasinya terlebih dahulu.

Untuk memulihkan akses ke data, pelaku menuntut uang tebusan yang cukup besar, yang jumlahnya bisa mencapai puluhan dan ratusan juta rubel.

Gejolak dalam dunia ransomware juga disertai oleh penjahat dunia maya yang mengiklankan Virtual Network Computing (hVNC) yang tersembunyi dan layanan akses jarak jauh seperti Pandora dan TMChecker yang dapat digunakan untuk eksfiltrasi data, menyebarkan malware tambahan, dan memfasilitasi serangan ransomware.

Beberapa broker akses awal (IAB) dan operator ransomware menggunakan [TMChecker] untuk memeriksa data yang telah disusupi untuk mengetahui keberadaan kredensial yang valid ke VPN perusahaan dan akun email.

Kebangkitan TMChecker secara bersamaan sangatlah penting karena secara substansial menurunkan hambatan biaya masuk bagi pelaku ancaman yang ingin mendapatkan akses perusahaan berdampak tinggi baik untuk eksploitasi primer atau untuk dijual ke musuh lain di pasar sekunder.

 

 

 

Baca lainnya:

  • Panduan Ransomware Singkat
  • Pengembang Games Ketar-ketir Diburu Pengembang Ransomware
  • Ransomware Pendatang Baru 2024
  • Pencegahan Ransomware Berdasar Persyaratan Keamanan Kata Sandi
  • LockBit, Ransomware yang Diperjualbelikan Pahami Cara Mitigasinya
  • Ransomware Meningkat Permintaan Akses Jaringan Menjamur
  • Ransomware Tren yang Tidak Pernah Pupus
  • 3 Fase Serangan Ransomware

 

 

Sumber berita:

 

WeLiveSecurity

Tags: antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik ransomware incar vmware serangan infrastuktur vmware Serangan ransomware serangan vmware esxi

Post navigation

Previous Trik Tipuan Minesweeper
Next Anatsa Racuni Aplikasi di Google Play

Related Stories

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
5 min read
  • Sektor Bisnis
  • Sektor Personal

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker

October 8, 2025
Pentingnya Layanan IT Terkelola dan Peran AI Pentingnya Layanan IT Terkelola dan Peran AI
4 min read
  • Sektor Bisnis
  • Teknologi

Pentingnya Layanan IT Terkelola dan Peran AI

October 8, 2025
Ancaman Siber Intai Sektor Manufaktur dan Solusi MDR Ancaman Siber Intai Sektor Manufaktur dan Solusi MDR
4 min read
  • Sektor Bisnis
  • Teknologi

Ancaman Siber Intai Sektor Manufaktur dan Solusi MDR

October 7, 2025

Recent Posts

  • Penipuan PayPal Terkini
  • Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
  • Peretas Kini Serang Lewat Obrolan dan Kode QR
  • Pentingnya Layanan IT Terkelola dan Peran AI
  • Celah Zero-Day Zimbra Meretas Email & Kata Sandi
  • CometJacking Serangan yang Mengubah AI Jadi Mata-Mata
  • Ancaman Siber Intai Sektor Manufaktur dan Solusi MDR
  • Email Phising AI Tipu Semua Orang
  • Dua Spyware Android Mengintai Pengguna Signal dan ToTok
  • Bahaya Tersembunyi Aplikasi VPN Seluler Gratis

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Penipuan PayPal Terkini Penipuan PayPal Terkini
4 min read
  • Sektor Personal
  • Teknologi

Penipuan PayPal Terkini

October 9, 2025
Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
5 min read
  • Sektor Bisnis
  • Sektor Personal

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker

October 8, 2025
Peretas Kini Serang Lewat Obrolan dan Kode QR Peretas Kini Serang Lewat Obrolan dan Kode QR
3 min read
  • Sektor Personal
  • Teknologi

Peretas Kini Serang Lewat Obrolan dan Kode QR

October 8, 2025
Pentingnya Layanan IT Terkelola dan Peran AI Pentingnya Layanan IT Terkelola dan Peran AI
4 min read
  • Sektor Bisnis
  • Teknologi

Pentingnya Layanan IT Terkelola dan Peran AI

October 8, 2025

Copyright © All rights reserved. | DarkNews by AF themes.