Sophos identifikoval několik aktivních kampaní, ve kterých útočníci zneužívají virtualizaci k dlouhodobému přístupu do firemních sítí, krádeži přihlašovacích údajů, exfiltraci citlivých dat, a přípravě a nasazení ransomwaru. V některých případech útočníci využili i známé zranitelnosti, například CitrixBleed2, nebo špatně zabezpečené VPN přístupy bez vícefaktorového ověření.

 

„Útočníky přitahuje například QEMU, ale i běžnější virtualizační nástroje založené na hypervizoru, jako jsou Hyper-V, VirtualBox a VMware, protože škodlivá aktivita probíhající uvnitř virtuálního stroje (VM) je pro bezpečnostní nástroje na koncových bodech v podstatě neviditelná a na samotném hostitelském systému zanechává jen minimum forenzních stop. Útočníci tak získávají čas i prostor pro další škodlivé aktivity a přípravu útoků,“ říká Morgan Demboski, analytička kybernetických hrozeb v týmu Managed Detection and Response (MDR) společnosti Sophos.

 

Virtualizační technologie jsou dnes běžnou součástí IT infrastruktury většiny organizací i v Česku. Nový přístup útočníků tak představuje reálné riziko napříč sektory.

 

„Firmy by měly počítat s tím, že útočníci dnes kombinují legitimní nástroje s pokročilými technikami skrývání. Ve fázi detekce už se už nemůžete spolehnout jen na monitoring koncových bodů, ale musíte zohlednit i širší kontext a chování v síti,“ upozorňuje Morgan Demboski a organizacím doporučuje: „Zaměřte se na audit prostředí z hlediska neautorizovaných virtualizačních nástrojů, sledujte neobvyklou síťovou komunikaci, například SSH tunely, kontrolujte podezřelé plánované úlohy i systémové procesy a dbejte na důsledné zabezpečení vzdálených přístupů včetně vícefaktorového ověřování.“

 

Více informací včetně detailní technické analýzy, indikátorů kompromitace a popisu jednotlivých kampaní naleznete v originálním reportu „QEMU abused to evade detection and enable ransomware delivery“.