近日,Carbon Spider 和 Sprite Spider 这两个团伙已非法获取了 vCenter 登录信息,以攻击企业系统。两种勒索软件已更新了攻击武器,利用 VMware ESXi 虚拟机管理程序系统中的漏洞,并对虚拟机进行了加密。
最近针对 VMware vSphere 系统漏洞的攻击发生在2021年2月,勒索软件团队通过 “RansomExx” 病毒,利用 VMWare ESXi 产品中的漏洞(CVE-2019-5544、CVE-2020-3992),对虚拟硬盘的文件进行加密。虚拟机被勒索病毒攻击后,出现了大量虚拟机关闭,虚拟处于关机,并处于无法连接状态,用户生产环境停线等严重问题,用户业务受到影响。
据某IT运维人员透露,VMware vSphere 集群仅有 vCenter 处于正常状态,部分 Windows 系统也遭到加密。此次勒索攻击事件中,攻击者瞄准了 VMware vSpere 的虚拟化平台,使用了常见的 RSA+AES 加密方法对文件进行加密,若无攻击者私钥则无法进行解密。
用户若对重要数据未进行备份,只能通过支付赎金的方式进行解密,对用户生产业务将造成严重影响。
部署必要的基本措施
勒索病毒已成为企业的头号威胁。过去勒索病毒针对 Windows 系统漏洞进行加密,遇到虚拟机系统就会失效了。而以上事件,提醒我们 2021 年勒索病毒已经进化,攻击手段更为复杂,已将毒手深入到了虚拟机。虚拟机数据备份,预防勒索病毒攻击,刻不容缓。
预防虚拟机被勒索病毒攻击,企业需要对虚拟化环境采取有效措施:
1、企业定期并及时对 VMware 虚拟机及应用组件进行升级;
2、定期检查系统漏洞,及时修复 VMware ESXi 补丁程序;
3、在非必要情况下,禁用 SLP;
4、更重要的是,需要做好虚拟机整机系统的备份保护,有条件的还可以做异地灾备,定期作数据演练容灾。
木浪云,勒索病毒的克星,30秒内恢复虚拟化数据中心数据
木浪云,是国内专注为虚拟机和云主机提供云备份容灾、智能数据管理、数据安全保护的技术创新企业。木浪云旗舰产品 D-HCDM 针对虚拟机备份保护场景,有以下几点优势可以有效防护病毒的入侵。
1、木浪云针对虚拟机整机采用永久增量备份保护和变长块跨备份存储重删的技术,可以用最小的成本最大限度保护更多甚至是所有的虚拟机整机系统和数据。
2、备份数据采用追加写入的机制,新增数据不会改写历史备份数据,可以保障在病毒入侵后,之前的每一个备份版本相互独立可完整恢复,可以有效规避备份数据全部被病毒感染。
3、每个备份版本的虚拟机都可以支持秒级快速挂载恢复,当出现病毒感染的情况,可以通过备份数据快速恢复业务应用,临时接管业务系统,避免长时间中断给企业带来的损失。
4、木浪云 D-HCDM 产品可以轻松支持本地备份数据实时复制到异地,帮助企业做好异地灾备工作,让数据和应用系统在病毒面前更加安全。
木浪云 D-HCDM 产品已经广泛应用在各行各业,包括福建移动、上海电信、中山电信等运营商数据中心,以及政府、大型能源、军工、商业控股、金融、医疗等企业机构。
木浪云, 应对虚拟机被勒索病毒加密事件,可秒级恢复虚拟机数据,保证业务连续运行和数据安全!
