Um novo relatório, revelou táticas evolutivas de grupos de ransomware que visam dispositivos VMware ESXi, explorando essas componentes essenciais da infraestrutura virtualizada para interromper operações e manter uma persistência furtiva nas redes comprometidas. Os dispositivos ESXi se tornaram alvos principais devido ao seu papel em hospedar máquinas virtuais vitais. Danos a esses dispositivos tornam as máquinas virtuais inacessíveis, interrompendo severamente as operações empresariais das organizações afetadas destacou os pesquisadores.

Além de criptografar e exfiltrar arquivos, os operadores de ransomware usam os dispositivos ESXi como pontos de pivô para canalizar tráfego malicioso dentro das redes, frequentemente não detectados devido à falta de monitoramento adequado. Uma das táticas detalhadas no relatório envolve o uso de tunelamento SSH, onde os atacantes estabelecem uma porta traseira semi-persistente explorando credenciais administrativas ou vulnerabilidades para acessar os dispositivos ESXi.

Através da funcionalidade SSH nativa, os cibercriminosos criam um túnel SOCKS de encaminhamento remoto de portas, misturando o tráfego malicioso com a atividade legítima. Como os dispositivos ESXi são resilientes e raramente são desligados inesperadamente, esse tunelamento serve como uma porta de entrada semi-persistente dentro da rede. Essa abordagem permite que os atacantes contornem defesas de perímetro e mantenham o acesso por períodos prolongados. Os atacantes utilizaram os dispositivos ESXi e o armazenamento conectado à rede (NAS) como pontos de pivô na rede, reforçando a necessidade de estratégias robustas de monitoramento e defesa para mitigar tais ameaças.