从实体店到虚拟核心:ESXi成为零售业下一个攻击载体
作者:Chris Goodman,Vali Cyber解决方案工程总监
2025年4月,针对玛莎百货的勒索软件攻击通过加密其VMware ESXi超管理器瘫痪了核心系统。此次入侵导致在线销售停滞、物流中断,并使客户陷入困境。估计损失超过4亿美元,该攻击揭示了勒索软件的一个增长趋势:基础设施层定向攻击。
本文探讨了为什么像ESXi这样的超管理器现在成为勒索软件团伙的首要攻击载体——以及零售商在下一次事件发生前可以采取哪些措施来加强虚拟基础设施。
零售业勒索软件的兴起
针对零售业的勒索软件攻击正在加速,攻击者越来越多地绕过终端,转而攻击核心虚拟化系统。2024年,45%的零售组织遭受了勒索软件攻击,恢复成本上升了50%。
根据2025年第一季度的威胁情报报告,针对虚拟化层(尤其是VMware ESXi)的勒索软件正在快速增长。这些攻击不仅影响台式机或文件服务器,还影响整个业务运营。玛莎百货的数据泄露只是向基础设施感知型勒索软件更广泛转变的一个例子。
MITRE ATT&CK v17中包含ESXi特定的TTPs进一步验证了这一转变。曾经的后端层现在已成为主要的勒索软件目标——而大多数零售商尚未适应。
典型案例:玛莎百货、哈罗德百货和合作社集团的ESXi攻击
2025年春季,由DragonForce和Scattered Spider主导的协同勒索软件活动使用针对ESXi的有效载荷和凭据滥用攻击了英国零售商。玛莎百货是最明显的目标。据报道,攻击者通过第三方供应商获得访问权限,提升权限并加密超管理器——导致在线销售、物流和内部系统瘫痪。
其他零售商,包括哈罗德百货和合作社集团,也检测到可疑活动并采取了紧急遏制措施,包括VPN关闭、凭据重置和限制远程访问。这些事件展示了超管理器漏洞如何迅速升级为全行业中断。
零售业超管理器安全应该是什么样子
大多数终端和网络安全工具并非为保护超管理器层而设计。随着攻击者将重点转向VMware ESXi和类似平台,组织必须重新考虑其防御措施。
超管理器感知安全策略的关键要素包括:
- 对管理访问和远程shell协议强制执行多因素认证
- 应用强化策略和虚拟补丁以降低风险而无需停机
- 控制本机超管理器工具使用(例如esxcli、vim-cmd)以防止滥用
- 监控指示权限提升或横向移动的行为异常
- 与SIEM/SOAR工具集成以支持更快的检测和响应
这些实践符合MITRE ATT&CK v17中概述的指导,并支持如NIST、SOC、ISO等合规框架。
最终思考:您的ESXi风险计划是什么?
超管理器安全不再是一个后端问题——而是一个前线防御问题。随着勒索软件团伙越来越多地针对虚拟化基础设施,零售商必须采取主动措施保护ESXi环境,并为基础设施层攻击做好准备。
MITRE ATT&CK v17和最近的高调事件清楚地表明了一件事:超管理器现在是现代攻击面的一部分。今天保护这一层的零售商明天将更好地避免中断、降低风险和维护客户信任。