Ransomware-groepen kiezen steeds vaker voor hypervisors als doelwit. Aanvallen op ESXi-omgevingen nemen toe omdat één succesvolle inbraak direct grote aantallen virtuele machines kan raken. Het aandeel hypervisor-ransomware zou in 2025 zijn gestegen van 3 procent naar ongeveer 25 procent van de waargenomen gevallen. De Akira-groep wordt daarbij genoemd als een belangrijke speler.
Volgens een blog van Huntress ontstaat het risico doordat de hypervisorlaag vaak minder zichtbaar is voor traditionele beveiligingstools. Wanneer aanvallers deze laag weten te bereiken, kan de impact aanzienlijk zijn. De blog beschrijft daarom verschillende maatregelen om de weerbaarheid te verhogen. Zo adviseert Huntress om het beheer van ESXi-systemen te scheiden van algemene domein-adminaccounts. Het bedrijf geeft aan dat strikt beperkte of lokale accounts de kans op misbruik van domeinrechten verlagen. Ook het afdwingen van multi-factor-authenticatie voor beheerinterfaces en vCenter moet credential-diefstal bemoeilijken.
Daarnaast wijst Huntress op het belang van sterke wachtwoorden en veilige opslag in een wachtwoordkluis. Segmentatie van het netwerk en isolatie van beheertoegang blijven volgens het bedrijf eveneens noodzakelijk. Toegang via jump-boxes of bastion-servers zou directe blootstelling van de beheerlaag beperken.
De blog noemt verder het hardenen van de runtime-omgeving. Alleen gesigneerde componenten toestaan en services zoals SSH of de ESXi Shell uitschakelen moet voorkomen dat ongewenste code kan worden uitgevoerd. Patch-beheer krijgt een prominente rol, waarbij Huntress verwijst naar bekende kwetsbaarheden zoals CVE-2024-37085. Deze kwetsbaarheid kan worden misbruikt via AD-rechten en maakt escalatie naar volledige hypervisor-controle mogelijk wanneer systemen niet zijn bijgewerkt.
Back-ups en herstelpaden blijven volgens Huntress noodzakelijk, ook bij een stevig hardeningsproces. Immutabele snapshots en robuuste back-upstrategieën moeten herstel mogelijk maken wanneer een aanval toch slaagt. Tot slot adviseert het bedrijf om hypervisor-logs door te sturen naar een SIEM-platform. Alerts op activiteiten zoals nieuwe root-logins of het inschakelen van niet-standaard services kunnen afwijkend gedrag sneller zichtbaar maken.
Huntress stelt dat een gelaagde verdediging nodig is omdat de hypervisorlaag buiten beeld blijft bij veel traditionele beveiligingsoplossingen. Door hardening, isolatie en monitoring te combineren moet de impact van ransomware op virtualisatieomgevingen verder worden beperkt.
