Os cibercriminosos constantemente inventam novas maneiras de roubar dados preciosos e usá-los a seu favor. Os dados são extremamente valiosos nos mercados sombrios, e um único ator mal-intencionado pode ganhar milhões com a venda de informações adquiridas ilegalmente. Hyperjacking é outro método ilícito que pode ser usado para espionar vítimas, controlar dispositivos e roubar informações valiosas. Então, o que é hyperjacking e como você pode se proteger dele?

O que é hiperjacking?

Hyperjacking envolve o comprometimento e o controle não autorizado de uma máquina virtual (VM). Portanto, antes de discutirmos o hyperjacking em detalhes, primeiro precisamos entender o que é uma máquina virtual.

O que é uma máquina virtual?

Uma máquina virtual é apenas isso: uma máquina não física que usa software de virtualização em vez de hardware para funcionar. Embora as máquinas virtuais devam existir em um hardware, elas operam usando componentes virtuais (como uma CPU virtual).

Hypervisors formam a espinha dorsal das máquinas virtuais

. Esses são programas de software responsáveis ​​por criar, executar e gerenciar VMs. Um único hipervisor pode hospedar vários máquinas virtuais ou vários sistemas operacionais convidados ao mesmo tempo, o que também lhe dá o nome alternativo de gerenciador de máquina virtual (VM).

Existem dois tipos de hipervisores. O primeiro é conhecido como um hipervisor "bare metal" ou "nativo", sendo o segundo um hipervisor "host". O que você deve observar é que os hipervisores das máquinas virtuais são os alvos dos ataques de hiperjacking (daí o termo "hyperjacking").

As origens do hiperjacking

Em meados dos anos 2000, os pesquisadores descobriram que o hyperjacking era uma possibilidade. Na época, os ataques de hyperjacking eram totalmente teóricos, mas a ameaça de que algum deles fosse executado sempre existiu. À medida que a tecnologia avança e os cibercriminosos se tornam mais inventivos, o risco de ataques de hyperjacking aumenta a cada ano.

De fato, em setembro de 2022, começaram a surgir alertas de ataques reais de hyperjacking. Ambos Mandiant e VMWare publicaram avisos afirmando que encontraram agentes mal-intencionados usando malware para conduzir ataques de hyperjacking por meio de uma versão prejudicial do software VMWare. Nesse empreendimento, os agentes de ameaças inseriram seu próprio código malicioso nos hipervisores das vítimas enquanto contornavam as medidas de segurança dos dispositivos de destino (semelhante a um rootkit).

Por meio dessa exploração, os hackers em questão conseguiram executar comandos nos dispositivos host das máquinas virtuais sem serem detectados.

Como funciona um ataque de hiperjacking?

Os hypervisors são o principal alvo dos ataques de hyperjacking. Em um ataque típico, o hipervisor original será substituído por meio da instalação de um hipervisor mal-intencionado e desonesto, controlado pelo agente da ameaça. Ao instalar um hipervisor não autorizado sob o original, o invasor pode, portanto, obter o controle do hipervisor legítimo e explorar a VM.

Ao ter controle sobre o hipervisor de uma máquina virtual, o invasor pode, por sua vez, obter o controle de todo o servidor da VM. Isso significa que eles podem manipular qualquer coisa na máquina virtual. No mencionado ataque de hyperjacking anunciado em setembro de 2022, descobriu-se que os hackers estavam usando o hyperjacking para espionar as vítimas.

Comparado a outras táticas de cibercrime extremamente populares, como phishing e ransomware, o hyperjacking não é muito comum no momento. Mas com o primeiro uso confirmado desse método, é importante que você saiba como manter seus dispositivos e seus dados seguros.

Como evitar o hiperjacking

Infelizmente, descobriu-se que o hyperjacking evita certas medidas de segurança presentes em seu dispositivo. Mas isso não significa que você não deva empregar altos níveis de proteção para diminuir a chance de um invasor atacar seu hypervisor.

Obviamente, você deve sempre garantir que sua máquina virtual esteja bem equipada com várias camadas de segurança. Por exemplo, você pode isolar cada uma de suas máquinas virtuais usando um firewall, e certifique-se de que seu dispositivo host tenha proteção antivírus adequada.

Você também deve garantir que seu hipervisor seja corrigido regularmente para que agentes mal-intencionados não possam explorar bugs e vulnerabilidades no software. Essa é uma das maneiras mais comuns pelas quais os cibercriminosos realizam ataques e, às vezes, podem causar muitos danos antes que o fornecedor do software perceba a falha de segurança.

Você também deve limitar os dispositivos aos quais sua máquina virtual tem acesso. Quando um invasor obtém controle sobre uma máquina virtual, ele pode usá-la para acessar outro hardware, como o dispositivo host. Tente não vincular sua VM a dispositivos desnecessários para evitar que um invasor a explore ainda mais se for comprometida.

Hyperjacking pode se tornar um problema significativo em um futuro próximo

Embora o hyperjacking pareça relativamente novo como uma tática de cibercrime praticada, há uma boa chance de que seja a prevalência começará a crescer entre os grupos de hackers que buscam explorar máquinas, espionar as vítimas e roubar dados. Portanto, se você tiver uma ou mais máquinas virtuais, certifique-se de protegê-las o máximo possível para evitar ser vítima de um ataque de hyperjacking.