Alarmerende stijging ransomware aanvallen op hypervisors
Cybercriminelen verschuiven hun focus van individuele servers naar de hypervisor, de fundering van gevirtualiseerde IT-omgevingen. Dit meldt beveiligingsbedrijf Huntress, dat een alarmerende toename ziet in het aantal ransomware-aanvallen dat specifiek gericht is op systemen zoals VMware ESXi.
Volgens data van Huntress is het aandeel van hypervisor-ransomware in cyberaanvallen verzesvoudigd: van 3% in de eerste helft van 2025 naar 25% in de tweede helft. De Akira ransomware-groep wordt genoemd als de voornaamste drijfveer achter deze trend.
Hypervisors (zoals ESXi) bieden een aantrekkelijk doelwit omdat een inbreuk op dit niveau tientallen tot honderden virtuele machines (VM's) tegelijk kan versleutelen, wat de impact van de aanval exponentieel vergroot. Bovendien missen deze 'bare metal' systemen vaak de traditionele beveiligingscontroles, zoals EDR (Endpoint Detection and Response).
Verdedigingsmaatregelen
Huntress roept organisaties op om de beveiliging van de hypervisor met dezelfde strengheid te behandelen als endpoints en servers. Cruciale verdedigingsmaatregelen omvatten:
- Strikte toegangscontrole: gebruik lokale ESXi-accounts, pas MFA toe en segregeer het beheer netwerk.
- Runtime hardening: schakel SSH en onnodige services uit en zorg dat alleen geautoriseerde software kan draaien.
- Robuuste back-ups: implementeer de 3-2-1 back-upregel met immutable (onveranderlijke) opslag.
- Patching: Snel patchen van kritieke kwetsbaarheden, met name in managementinterfaces, is essentieel.
De verschuiving benadrukt dat aanvallers op zoek zijn naar het punt met de grootste impact en de minste zichtbaarheid voor traditionele beveiligingstools.
Meer over ransomware
Over Witold Kepinski
