从实体店面到虚拟核心:ESXi成为零售业下一个攻击向量
作者:Chris Goodman,Vali Cyber解决方案工程总监
2025年4月,玛莎百货遭遇勒索软件攻击,攻击者加密了其VMware ESXi虚拟化管理程序,导致核心系统瘫痪。此次入侵中断了在线销售,扰乱了物流运营,使客户陷入困境。估计损失超过4亿美元,该攻击揭示了勒索软件的一个增长趋势:基础设施层定向攻击。
本文探讨了为什么像ESXi这样的虚拟化管理程序现在成为勒索软件组织的首要攻击向量,以及零售商可以在下一次事件发生前采取哪些措施来加强虚拟基础设施。
零售业勒索软件的兴起
针对零售业的勒索软件攻击正在加速,攻击者越来越多地绕过终端,转而攻击核心虚拟化系统。2024年,45%的零售组织遭受了勒索软件攻击,恢复成本上升了50%。
根据2025年第一季度的威胁情报报告,针对虚拟化层(尤其是VMware ESXi)的勒索软件正在迅速增长。这些攻击不仅影响台式机或文件服务器,而且影响整个业务运营。玛莎百货的数据泄露只是向基础设施感知型勒索软件更广泛转变的一个例子。
MITRE ATT&CK v17中包含了ESXi特定的战术、技术和程序,进一步证实了这种转变。曾经的后端层现在成了勒索软件的主要目标——而大多数零售商尚未适应。
实例分析:玛莎百货、哈罗德百货和合作社集团的ESXi攻击
2025年春季,由DragonForce和Scattered Spider领导的协同勒索软件活动,使用针对ESXi的有效载荷和凭据滥用,瞄准了英国零售商。玛莎百货是最引人注目的目标。据报道,攻击者通过第三方供应商获得访问权限,提升权限并加密虚拟化管理程序——导致在线销售、物流和内部系统瘫痪。
其他零售商,包括哈罗德百货和合作社集团,也检测到可疑活动并采取了紧急遏制措施,包括关闭VPN、重置凭据和限制远程访问。这些事件表明虚拟化管理程序漏洞如何迅速升级为全行业的中断。
零售业应有的虚拟化管理程序安全措施
大多数终端和网络安全工具并非为保护虚拟化层而设计。随着攻击者将焦点转向VMware ESXi及类似平台,组织必须重新考虑其防御措施。
具备虚拟化管理程序安全意识策略的关键要素包括:
- 对管理访问和远程Shell协议强制执行多因素认证
- 应用强化策略和虚拟补丁,以在不造成停机的情况下降低风险
- 控制原生虚拟化管理程序工具的使用(例如esxcli, vim-cmd)以防止滥用
- 监控指示权限升级或横向移动的行为异常
- 与SIEM/SOAR工具集成,以支持更快的检测和响应
这些实践与MITRE ATT&CK v17中概述的指南一致,并支持如NIST、SOC、ISO等合规框架。
最终思考:您的ESXi风险应对计划是什么?
虚拟化管理程序安全不再是后端问题——而是前线防御问题。随着勒索软件组织越来越多地以虚拟化基础设施为目标,零售商必须采取主动措施来保护ESXi环境,并为基础设施层攻击做好准备。
MITRE ATT&CK v17和近期的高调事件清楚地说明了一件事:虚拟化管理程序已成为现代攻击面的一部分。今天保护好这一层的零售商,明天就能更好地避免中断、降低风险并维持客户信任。