
Pada tahun 2024, serangan ransomware yang menargetkan server VMware ESXi mencapai tingkat yang mengkhawatirkan, dengan rata-rata permintaan tebusan meroket hingga $5 juta. Dengan sekitar 8.000 host ESXi yang terekspos langsung ke internet (menurut Shodan), dampak operasional dan bisnis dari serangan ini sangat besar.
Sebagian besar rangkaian Ransomware yang menyerang server ESXi saat ini, adalah varian dari ransomware Babuk yang terkenal, yang diadaptasi untuk menghindari deteksi alat keamanan. Selain itu, aksesibilitas menjadi semakin luas, karena penyerang memonetisasi titik masuk mereka dengan menjual Akses Awal kepada pelaku ancaman lainnya, termasuk kelompok ransomware. Ketika organisasi-organisasi menghadapi ancaman yang semakin besar dan semakin besar: kerentanan baru, titik masuk baru, jaringan kejahatan dunia maya yang dimonetisasi, dan masih banyak lagi, terdapat urgensi yang semakin besar untuk meningkatkan langkah-langkah keamanan dan kewaspadaan.
Arsitektur ESXi
Memahami bagaimana penyerang dapat menguasai host ESXi dimulai dengan memahami arsitektur lingkungan virtual dan komponennya. Ini akan membantu mengidentifikasi potensi kerentanan dan titik masuk.
Berdasarkan hal ini, penyerang yang menargetkan server ESXi mungkin mencari node pusat yang mengelola beberapa host ESXi. Hal ini akan memungkinkan mereka untuk memaksimalkan dampaknya.

Hal ini membawa kita ke vCenter, yang merupakan administrasi pusat untuk infrastruktur VMware dan dirancang untuk mengelola beberapa host ESXi. Server vCenter mengatur manajemen host ESXi dengan akun “vpxuser” default. Memegang izin root, akun “vpxuser” bertanggung jawab atas tindakan administratif pada mesin virtual yang berada di host ESXi. Misalnya, mentransfer VM antar host dan mengubah konfigurasi VM aktif.
Kata sandi terenkripsi untuk setiap host ESXi yang terhubung disimpan dalam tabel di dalam server vCenter. Kunci rahasia yang disimpan di server vCenter memfasilitasi dekripsi kata sandi, dan, akibatnya, kontrol penuh atas setiap host ESXi. Setelah didekripsi, akun “vpxuser” dapat digunakan untuk operasi izin root, termasuk mengubah konfigurasi, mengubah kata sandi akun lain, login SSH, dan mengeksekusi ransomware.
Enkripsi pada ESXi
Kampanye Ransomware dimaksudkan untuk mempersulit pemulihan, sehingga memaksa organisasi untuk membayar uang tebusan. Dengan serangan ESXi, hal ini dicapai dengan menargetkan empat jenis file yang penting untuk kelangsungan operasional:
- File VMDK: File disk virtual yang menyimpan konten hard drive mesin virtual. Mengenkripsi file-file ini membuat mesin virtual tidak dapat dioperasikan sepenuhnya.
- File VMEM: File halaman setiap mesin virtual. Mengenkripsi atau menghapus file VMEM dapat mengakibatkan kehilangan data yang signifikan dan komplikasi saat mencoba melanjutkan VM yang ditangguhkan.
- File VSWP: Tukar file, yang menyimpan sebagian memori VM melebihi apa yang dapat disediakan oleh memori fisik host. Mengenkripsi file swap ini dapat menyebabkan error pada VM.
- File VMSN: Snapshot untuk mencadangkan VM. Menargetkan file-file ini mempersulit proses pemulihan bencana.
Karena file yang terlibat dalam serangan ransomware di server ESXi berukuran besar, penyerang biasanya menggunakan pendekatan enkripsi hibrid. Mereka menggabungkan kecepatan enkripsi simetris dengan keamanan enkripsi asimetris.
- Enkripsi simetris – Metode ini, seperti AES atau Chacha20, memungkinkan kecepatan dan efisiensi dalam mengenkripsi data dalam jumlah besar. Penyerang dapat dengan cepat mengenkripsi file, mengurangi peluang deteksi dan mitigasi oleh sistem keamanan.
- Enkripsi asimetris – Metode asimetris, seperti RSA, lebih lambat karena melibatkan kunci publik dan kunci privat serta memerlukan operasi matematika yang rumit.
Oleh karena itu, dalam ransomware, enkripsi asimetris terutama digunakan untuk mengamankan kunci yang digunakan dalam enkripsi simetris, bukan data itu sendiri. Hal ini memastikan bahwa kunci simetris terenkripsi hanya dapat didekripsi oleh seseorang yang memiliki kunci privat yang sesuai, yaitu penyerang. Hal ini mencegah dekripsi dengan mudah, sehingga menambah lapisan keamanan ekstra bagi penyerang.
4 Strategi Utama Mitigasi Risiko
Setelah kami mengetahui bahwa keamanan vCenter berada dalam risiko, langkah berikutnya adalah memperkuat pertahanan dengan memberikan penghalang bagi calon penyerang. Berikut beberapa strateginya:
- Pembaruan VCSA Reguler: Selalu gunakan VMware vCenter Server Appliance (VCSA) versi terbaru dan selalu perbarui. Transisi dari vCenter berbasis Windows ke VCSA dapat meningkatkan keamanan, karena vCenter dirancang khusus untuk mengelola vSphere.
- Terapkan MFA dan Hapus Pengguna Default: Jangan hanya mengubah kata sandi default—siapkan Autentikasi Multi-Faktor (MFA) yang kuat untuk akun sensitif guna menambahkan lapisan perlindungan ekstra.
- Gunakan Alat Deteksi yang Efektif: Gunakan alat deteksi dan pencegahan langsung di vCenter Anda. Solusi seperti EDR, XDR, atau alat pihak ketiga dapat membantu pemantauan dan peringatan, sehingga mempersulit penyerang untuk berhasil. Misalnya, menyiapkan kebijakan pemantauan yang secara khusus melacak upaya akses yang tidak biasa ke akun vpxuser atau peringatan untuk aktivitas file terenkripsi dalam lingkungan vCenter.
- Segmentasi Jaringan: Segmentasikan jaringan Anda untuk mengontrol arus lalu lintas dan mengurangi risiko pergerakan lateral oleh penyerang. Memisahkan jaringan manajemen vCenter dari segmen lain membantu membendung potensi pelanggaran.
Pengujian Berkelanjutan: Memperkuat Keamanan ESXi Anda
Melindungi vCenter Anda dari serangan ransomware ESXi sangatlah penting. Risiko yang terkait dengan vCenter yang disusupi dapat memengaruhi seluruh organisasi Anda, berdampak pada semua orang yang mengandalkan data penting.
Pengujian dan penilaian rutin dapat membantu mengidentifikasi dan mengatasi kesenjangan keamanan sebelum menjadi masalah serius. Bekerja samalah dengan pakar keamanan yang dapat membantu Anda menerapkan strategi Continuous Threat Exposure Management (CTEM) yang disesuaikan dengan organisasi Anda.