Vizarea hipervizoarelor VMware ESXi cu ransomware pentru a amplifica astfel de campanii este o tehnică cunoscută sub numele de "jackpotting de hipervizor". De-a lungul anilor, această abordare a fost adoptată de mai multe grupuri de ransomware, inclusiv Royal.
Alte grupuri notabile de infractori cibernetici care au actualizat arsenalul pentru a viza ESXi includ ALPHV (BlackCat), Black Basta, Defray, ESXiArgs, LockBit, Nevada, Play, Rook și Rorschach.
Una dintre motivele pentru care hipervizoarele VMware ESXi devin ținte atractive este faptul că software-ul rulează direct pe un server fizic, conferind unui potențial atacator capacitatea de a rula binare ELF malicioase și de a obține acces nelimitat asupra resurselor subiacente ale mașinii.
Atacatorii care doresc să spargă hipervizoarele ESXi pot face acest lucru utilizând credențiale compromise, urmate de obținerea privilegiilor elevate și, fie prin mișcări laterale prin rețea, fie prin ieșirea din mediu printr-o vulnerabilitate cunoscută, își pot avansa scopurile.
Actorii de ransomware sunt departe de a fi singurele entități care vizează infrastructura virtuală. În martie 2023, Mandiant, deținută de Google, a atribuit unui grup național chinez utilizarea unor backdoor-uri noi denumite VIRTUALPITA și VIRTUALPIE în atacuri îndreptate împotriva serverelor VMware ESXi.
Pentru a diminua impactul "jackpotting-ului de hipervizor", organizațiile sunt sfătuite să evite accesul direct la gazdele ESXi, să activeze autentificarea în două factori, să facă copii de siguranță periodice ale volumelor de date ale ESXi, să aplice actualizări de securitate și să efectueze revizuiri ale posturii lor de securitate.
Acest lucru reprezintă o preocupare majoră pe măsură ce tot mai multe organizații transferă sarcinile de lucru și infrastructura în medii cloud - toate prin intermediul mediilor VMware Hypervisor.