Home Networking Risiko Tersembunyi dalam Virtualisasi: Mengapa Hypervisor adalah Magnet Ransomware
Networking

Risiko Tersembunyi dalam Virtualisasi: Mengapa Hypervisor adalah Magnet Ransomware

Sponsored by Huntress Labs12 min read
58
risiko-tersembunyi-dalam-virtualisasi:-mengapa-hypervisor-adalah-magnet-ransomware
Risiko Tersembunyi dalam Virtualisasi: Mengapa Hypervisor adalah Magnet Ransomware

Penulis: Dray Agha, Manajer Senior, Hunt & Response, di Huntress Labs

Hypervisor adalah tulang punggung lingkungan virtual modern, namun ketika disusupi, hypervisor dapat menjadi pengganda kekuatan bagi penyerang. Satu pelanggaran pada lapisan ini dapat membahayakan lusinan atau bahkan ratusan mesin virtual secara bersamaan. Tidak seperti endpoint tradisional, hypervisor sering kali beroperasi dengan visibilitas dan perlindungan terbatas, yang berarti alat keamanan konvensional mungkin tidak dapat mendeteksi serangan hingga terlambat.

Dari sudut pandang kami di SOC dan ruang perburuan ancaman di Huntress, kami melihat semakin banyak musuh yang menargetkan hypervisor untuk menyebarkan ransomware dalam skala besar. Secara khusus, pada tahun 2025, data kasus Huntress mengungkapkan lonjakan yang menakjubkan dalam hypervisor ransomware: perannya dalam enkripsi berbahaya meroket dari hanya 3% pada paruh pertama tahun ini menjadi 25% pada paruh kedua.

Aktor utama yang mendorong tren ini adalah kelompok ransomware Akira. Pergeseran ini menggarisbawahi pentingnya memperkuat lapisan hypervisor dengan ketelitian yang sama diterapkan pada titik akhir dan server.

Dalam artikel ini, kami menguraikan ancaman yang kami amati di alam liar dan memberikan panduan praktis untuk mengamankan infrastruktur hypervisor Anda, mulai dari patching dan kontrol akses hingga pengerasan runtime dan strategi pemulihan yang kuat.

Hypervisors: Medan Pertempuran Baru dalam Operasi Ransomware

Dalam beberapa bulan terakhir tahun 2025, Huntress telah mengamati musuh menargetkan hypervisor dalam upaya untuk menghindari kontrol keamanan titik akhir dan jaringan.

Dan ini masuk akal: ketika para pembela terus memperkuat titik akhir dan server, musuh semakin mengalihkan fokus mereka ke lapisan hypervisor, fondasi infrastruktur virtual – hypervisor Tipe 1 (“bare metal”) adalah fondasinya, diinstal langsung pada perangkat keras server, hypervisor Tipe 2 (“hosted”) adalah aplikasi yang berada di atas OS komputer biasa Anda. Pergeseran ini mengikuti pedoman yang sudah dikenal.

Kita telah melihatnya dalam serangan terhadap peralatan VPN: pelaku ancaman menyadari bahwa sistem operasi host sering kali merupakan hak milik atau dibatasi, yang berarti pembela HAM tidak dapat memasang kontrol keamanan penting seperti EDR. Hal ini menciptakan titik buta yang signifikan.

Prinsip yang sama berlaku untuk hypervisor Tipe 1; mereka adalah target utama “perluasan lahan” yang seringkali tidak dapat dicapai oleh keamanan titik akhir tradisional.

Kami juga mengamati beberapa kasus di mana operator ransomware menyebar muatan ransomware langsung melalui hypervisorsepenuhnya melewati perlindungan titik akhir tradisional.

Dalam beberapa kasus, penyerang memanfaatkan alat bawaan seperti openssl untuk melakukan enkripsi volume mesin virtual, sehingga menghindari kebutuhan untuk mengunggah binari ransomware khusus.

  • Begitu berada di dalam jaringan, penyerang sering kali beralih ke hypervisor menggunakan kredensial autentikasi internal yang disusupi dalam lingkungan di mana segmentasi jaringan gagal menolak pergerakan lateral ke halaman manajemen hypervisor. Langkah ini memberi mereka kendali lebih besar atas beberapa sistem tamu dari satu antarmuka manajemen.
  • Kami telah melihat penyalahgunaan utilitas manajemen Hyper-V, untuk mengubah pengaturan VM dan merusak fitur keamanan. Hal ini termasuk menonaktifkan pertahanan endpoint, merusak switch virtual, dan mempersiapkan VM untuk penerapan ransomware dalam skala besar.
Gambar 1: Ekstrak dari Platform Huntress yang mendeteksi musuh yang memanipulasi Hyper-V

Pergeseran ini menggarisbawahi tren yang berkembang dan tidak nyaman: Penyerang menargetkan infrastruktur yang mengendalikan semua host, dan dengan akses ke hypervisor, musuh secara dramatis memperkuat dampak intrusi mereka.

Bagikan Hadiah Keamanan

Peretas juga menyukai liburan! Bagikan Pelatihan Kesadaran Keamanan GRATIS dengan keluarga & teman agar mereka tetap aman.

Pelajaran cepat dan menyenangkan untuk mempertajam kecerdasan siber mereka! Akses diperpanjang hingga 31/1/26.

Daftar Gratis

Amankan akses, terapkan hak istimewa paling rendah, dan pisahkan bidang manajemen

Jika penyerang dapat memperoleh kredensial administratif untuk hypervisor, mereka dapat menyebarkan muatan ransomware yang memengaruhi setiap VM di host. Selain itu, penggunaan akun yang bergabung dengan domain (misalnya, akun Direktori Aktif (AD)) untuk ESXi meningkatkan risiko pergerakan lateral.

Apa yang harus dilakukan:

  • Gunakan akun ESXi lokal. Hindari penggunaan akun admin domain tujuan umum untuk pengelolaan. Sebagai gantinya, buat akun ESXi lokal khusus atau akun domain teraudit yang sangat terbatas hanya dengan izin yang diperlukan. Jika akun admin domain disusupi, pemisahan ini mencegah akses langsung dan tidak sah ke hypervisor dan mesin virtualnya.
  • Menerapkan Otentikasi Multifaktor (MFA). Hal ini tidak dapat dinegosiasikan untuk semua infrastruktur penting. Terapkan MFA untuk antarmuka manajemen host dan akses vCenter untuk melindungi dari pencurian kredensial. Penyerang dengan nama pengguna dan kata sandi yang dicuri akan diblokir, sehingga secara signifikan meningkatkan upaya yang diperlukan agar pelanggaran berhasil. Kontrol ini memberikan pertahanan yang kuat terhadap serangan phishing dan brute force yang umum.Gunakan kata sandi kuat yang disimpan dalam brankas kata sandi yang aman. Kredensial ESXi harus sangat kuat dan hanya disimpan di brankas kata sandi khusus, tidak pernah di dokumen bersama atau di lokasi yang kurang aman. Hal ini mencegah paparan kredensial melalui vektor serangan umum seperti berbagi file yang disusupi atau praktik pengelolaan kata sandi yang tidak aman.
  • Pisahkan jaringan manajemen host. Pisahkan jaringan manajemen hypervisor dari jaringan produksi dan pengguna umum. Buat VLAN khusus atau segmen jaringan yang terpisah secara logis dan/atau fisik. Dengan membatasi jumlah titik akhir yang bahkan dapat mencoba terhubung ke antarmuka manajemen hypervisor, Anda secara drastis mengurangi potensi permukaan serangan.
  • Menyebarkan jump box atau bastion server. Untuk memastikan semua akses administratif diaudit dan dikontrol, terapkan jump box atau bastion server yang harus diakses terlebih dahulu oleh admin TI, sebelum beralih ke hypervisor. Pengaturan ini menghilangkan koneksi langsung dari stasiun kerja administrator yang berpotensi kurang aman. Jump box bertindak sebagai pos pemeriksaan yang dipantau, memungkinkan perekaman sesi, pencatatan semua perintah, dan penegakan kebijakan keamanan sebelum memberikan akses ke infrastruktur penting.
  • Menerapkan prinsip paling sedikit hak istimewa (PoLP). Batasi secara ketat akses ke bidang kontrol (vCenter dan host individual). Berikan hanya peran minimum yang diperlukan untuk fungsi administratif yang diperlukan, seperti pengelolaan sumber daya atau patching, kepada administrator manusia dan akun layanan. Penerapan PoLP memastikan bahwa potensi kompromi pada satu akun tidak dapat dimanfaatkan untuk perubahan besar-besaran di seluruh lingkungan virtual.
  • Batasi akses pengelolaan pada perangkat admin khusus. Batasi akses antarmuka manajemen ESXi ke perangkat administratif tertentu dengan alamat IP statis. Hal ini menciptakan penghalang tambahan dengan memastikan bahwa hanya titik akhir yang diketahui dan sah yang dapat mencoba terhubung ke hypervisor, sehingga semakin mengurangi permukaan serangan.

Kunci lingkungan runtime hypervisor dan terapkan kontrol kode/eksekusi

Salah satu risiko unik dari ransomware tingkat hypervisor adalah begitu penyerang berada di host, mereka dapat menjalankan kode di tingkat hypervisor, melewati kontrol OS tamu. Anda perlu memperkuat host agar hanya menjalankan kode yang diharapkan, ditandatangani, dan modul tepercaya.

Apa yang harus dilakukan:

  • Aktifkan pengaturan host lanjutan VMkernel.Boot.execInstalledOnly = BENAR sehingga hanya binari yang diinstal melalui VIB bertanda tangan yang dapat dijalankan, sehingga mencegah binari khusus dan berbahaya berjalan di host.
  • Menonaktifkan/menutup layanan yang tidak diperlukan seperti SSH atau ESXi Shell saat tidak digunakan; aktifkan mode kuncian.

Selalu perbarui hypervisor, dan minimalkan permukaan yang terbuka

Penyerang secara aktif menargetkan host ESXi melalui kerentanan yang diketahui untuk operasi enkripsi massal. 0days dan CVE kemungkinan besar bukan alasan paling umum/sebenarnya untuk melakukan kompromi, dan kemungkinan besar merupakan penyimpangan dalam segmentasi keamanan. Namun, mempertahankan patching sangatlah penting.

Misalnya, CVE-2024-37085 menyoroti risiko hypervisor ini dengan sempurna. Kerentanan ini memungkinkan penyerang dengan izin AD yang memadai untuk melewati otentikasi dan langsung mengambil kendali administratif penuh dari host ESXi, yang menyebabkan enkripsi massal semua VM dalam hitungan detik.

Eksploitasi ini berfungsi karena host ESXi yang rentan secara otomatis memberikan hak istimewa admin penuh kepada grup AD ‘Admin ESX’. Pelaku ancaman hanya menciptakan kembali kelompok tersebut untuk segera merebut kunci kerajaan.

Kompromi awal ini sering kali dimulai dengan antarmuka manajemen yang belum ditambal atau protokol yang terbuka, seperti Service Location Protocol (SLP), yang menyediakan titik masuk yang mudah.

Apa yang harus dilakukan:

  • Pertahankan inventaris semua host ESXi (dan komponen manajemen terkait seperti vCenter) dan tingkat patchnya.
  • Prioritaskan patch keamanan dan pembaruan dari vendor, terutama untuk CVE terkait hypervisor.
  • Nonaktifkan atau batasi layanan yang tidak Anda perlukan atau pastikan layanan tersebut tidak terekspos secara eksternal. Service Location Protocol (SLP/port 427) telah dieksploitasi oleh kelompok ransomware seperti ESXArgs dan harus dinonaktifkan. Mengikuti Panduan remediasi resmi VMware.
  • Pastikan host ESXi tidak terekspos langsung ke internet untuk pengelolaan. Gunakan VPN, bastion host, atau jaringan manajemen terisolasi.

Strategi cadangan, snapshot yang tidak dapat diubah, dan kemampuan pemulihan yang cepat

Bahkan dengan pencegahan yang kuat, risiko tetap ada. Lapisan hypervisor berdampak tinggi; mundur adalah wajib. Banyak panduan yang menekankan bahwa pemulihan adalah garis pertahanan terakhir. Ransomware yang menargetkan ESXi biasanya berupaya mengenkripsi VMDK dan file host; tanpa cadangan yang baik Anda mungkin terpaksa membayar.

Apa yang harus dilakukan:

  • Terapkan aturan pencadangan “3-2-1”: miliki setidaknya tiga salinan data, pada dua media berbeda, dan satu salinan di luar lokasi/di luar jaringan hypervisor.
  • Gunakan repositori cadangan atau snapshot yang tidak dapat diubah sehingga setelah ditulis, tidak dapat diubah atau dihapus oleh ransomware.
  • Jangan sambungkan repositori cadangan Anda ke Direktori Aktif atau sistem manajemen identitas terpusat apa pun. Sebagai gantinya, gunakan akun lokal terpisah, yang tidak tergabung dalam domain, dan khusus untuk mencegah kredensial AD yang disusupi sehingga memungkinkan ransomware menyebar langsung ke lokasi pencadangan penting Anda.
  • Pastikan cadangan menyertakan gambar VM lengkap dan status hypervisor terkait, sehingga Anda dapat membangunnya kembali dengan cepat.
  • Uji cadangan Anda secara teratur. Jangan hanya mengonfirmasi bahwa Anda dapat memasang cadangan dan mengakses file, namun pastikan bahwa OS Anda sepenuhnya dimulai dan Anda dapat masuk dengan kredensial yang diketahui.
  • Lakukan latihan pemulihan penuh minimal setiap tahun. Asumsi menyebabkan periode waktu henti yang lebih lama. Berikut beberapa pertimbangan tambahan:
    • Sudahkah Anda menguji di luar lokasi dan/atau lokasi failover?
    • Bisakah Anda memastikan bahwa server Anda memiliki jaringan/konektivitas yang benar? Bisakah Anda mengakses server failover ini dari titik akhir produksi?
    • Apakah firewall situs cadangan/lokasi failover sudah memiliki daftar izin dan aturan firewall yang diperlukan untuk memastikan komunikasi yang tepat dari alat penting, seperti klien EDR, RMM, dan VPN?

Pantau, deteksi anomali, dan asumsikan pelanggaran (pertahanan mendalam)

Karena lapisan hypervisor seringkali kurang terlihat oleh alat keamanan titik akhir tradisional seperti EDR, Anda memerlukan strategi deteksi alternatif. Penyerang sering kali melakukan tindakan seperti mengubah tingkat penerimaan VIB, mengaktifkan SSH, menonaktifkan mode lockdown, atau membuat akun admin baru, sebagai pendahulu penyebaran muatan ransomware.

Tanpa pemantauan, Anda hanya dapat mendeteksi kejadian setelah enkripsi selesai.

Apa yang harus dilakukan:

  • Teruskan log ESXi ke SIEM Anda dan buat peringatan untuk peristiwa penting yang mencurigakan (seperti login root baru, pengaktifan layanan, perubahan penerimaan VIB, pelepasan datastore).
  • Pantau konfigurasi untuk penyimpangan. Jika ada host yang mode kunciannya dinonaktifkan, SSH diaktifkan, atau execInstalledOnly dinonaktifkan, tandai host tersebut untuk ditinjau.
  • Lalu lintas jaringan manajemen log. Ingat sebelumnya ketika kita direkomendasikan untuk menempatkan ESXi dan panel kontrol infrastruktur penting lainnya di VLAN atau segmen jaringannya sendiri? Sekarang saatnya mencari IP sumber yang tidak biasa yang mengakses antarmuka manajemen hypervisor (idealnya Anda hanya mengizinkan lalu lintas dari server lompat), upaya pergerakan lateral, atau pola IO penyimpanan data besar yang konsisten dengan enkripsi VM.
  • Gunakan pola pikir tanpa kepercayaan untuk manajemen hypervisor, dan asumsikan kredensial mungkin disusupi, dan buatlah peringatan yang sesuai.
  • Tidak seperti format syslog tradisional, ESXi memisahkan log berdasarkan aktivitas tertentu ke dalam file berbeda. Berikut ini adalah file log paling penting untuk mendeteksi dan menyelidiki penyusupan hypervisor: /var/log/auth.log (acara otentikasi), /var/log/hostd.log (aktivitas agen tuan rumah), /var/log/shell.log (Perintah shell ESXi), dan /var/log/vobd.log (Daemon pengamat VMware). Untuk panduan konfigurasi log, lihat Dokumentasi Broadcom Dan Strategi pertahanan ESXi Sygnia.

Saat bermitra dengan penyedia SOC atau MDR pihak ketiga, pertimbangkan untuk menetapkan model tanggung jawab bersama. Mitra keamanan eksternal Anda tidak akan memiliki konteks bisnis yang diperlukan untuk membedakan pemeliharaan internal rutin dari musuh yang menerobos pada pukul 2 pagi.

Perbedaan ini sangat penting: SOC pihak ketiga memiliki posisi terbaik untuk mendeteksi kejahatan universal, seperti eksekusi ransomware itu sendiri. Untuk meningkatkan hal ini, kami menyarankan agar tim keamanan internal Anda fokus pada pemantauan ancaman orang dalam dan tindakan yang hanya dapat dikontekstualisasikan oleh mereka, seperti login larut malam diikuti dengan pengaktifan SSH.

Agar model ini berhasil, tim TI harus benar-benar mematuhi prosedur pengendalian perubahan dan mengomunikasikan semua perubahan hypervisor yang diharapkan pada keamanan internal. Hal ini memastikan SOC mengetahui semua aktivitas yang diantisipasi, sehingga memungkinkan semua pihak untuk memfokuskan upaya mereka pada tempat yang paling efektif.

Kesimpulan

Melindungi hypervisor bare-metal seperti ESXi dari ransomware memerlukan pendekatan berlapis dan proaktif. Mulai dari patching dan kontrol akses, hingga pengerasan runtime dan kesiapan pemulihan, hingga deteksi dan logging, Anda perlu mencakup semua sudut.

Jika Anda memerlukan panduan yang lebih komprehensif dalam mempersiapkan diri menghadapi kemungkinan terburuk, tinjau panduan kami untuk Perencanaan Pemulihan Bencana. Sekarang saatnya bagi organisasi Anda untuk bertanya: kapan terakhir kali kami memperbarui dan menguji IRP dan DRP kami sepenuhnya, khususnya mengonfirmasi kemampuan untuk memulihkan dan menjalankan semua mesin virtual tamu?

Terlepas dari upaya pencegahan dan deteksi terbaik yang kami lakukan, organisasi juga harus bersiap menghadapi kemungkinan kompromi yang berhasil. Jika Anda mendapati diri Anda merespons lingkungan ESXi yang disusupi, sebaiknya tinjau ini secara menyeluruh Panduan IR ESXi. Panduan ini memberikan prosedur respons insiden dan artefak forensik yang terperinci, yang dirancang khusus untuk lingkungan ESXi.

Dengan memanfaatkan Huntress, Anda mungkin sudah menerapkan banyak di antaranya pada lapisan OS/titik akhir; namun hypervisor menuntut ketelitian yang sama (dan seringkali lebih) karena potensi dampaknya yang massal.

Jika Anda memasukkan panduan pertahanan artikel ini ke dalam lingkungan dan proses keamanan Anda, Anda secara signifikan meningkatkan penghalang bagi pelaku ransomware.

Pertahankan Kesadaran Situasional di tahun 2026—Daftar ke Tradecraft Selasa

Tradecraft Tuesday memberi para profesional keamanan siber analisis mendalam tentang pelaku ancaman terbaru, vektor serangan, dan strategi mitigasi. Setiap sesi mingguan menampilkan panduan teknis mengenai insiden terkini, perincian komprehensif tren malware, dan indikator kompromi (IOC) terkini.

Peserta mendapatkan:

  • Pengarahan mendetail tentang kampanye ancaman yang muncul dan varian ransomware
  • Metodologi pertahanan dan teknik remediasi yang berbasis bukti
  • Interaksi langsung dengan analis Huntress untuk mendapatkan wawasan respons insiden
  • Akses terhadap panduan deteksi dan intelijen ancaman yang dapat ditindaklanjuti

Daftar Tradecraft Selasa →

Tingkatkan postur pertahanan Anda dengan intelijen real-time dan pendidikan teknis yang dirancang khusus bagi mereka yang bertanggung jawab menjaga lingkungan organisasi mereka.

Disponsori dan ditulis oleh Lab Pemburu.

Post Views: 58

Read Also

Exit mobile version