Artikel Terbaru

Ancaman Ransomware Hypervisor Meningkat, Ini Risikonya

Ilustrasi Hacker 5

Ilustrasi Hacker

Dalam beberapa tahun terakhir, virtualisasi telah menjadi fondasi utama infrastruktur teknologi informasi modern. Mulai dari pusat data perusahaan hingga layanan cloud skala besar, hampir semua mengandalkan mesin virtual (virtual machine/VM) untuk efisiensi, fleksibilitas, dan skalabilitas. Namun di balik manfaat tersebut, tersembunyi sebuah risiko besar yang kini mulai dimanfaatkan oleh pelaku kejahatan siber: hypervisor.

Hypervisor adalah komponen inti yang memungkinkan banyak mesin virtual berjalan di atas satu perangkat keras fisik. Ia bertindak sebagai pengelola sumber daya sekaligus “pengendali lalu lintas” seluruh VM. Masalahnya, ketika lapisan ini berhasil ditembus, dampaknya bisa jauh lebih destruktif dibanding serangan pada endpoint atau server biasa. Satu pelanggaran pada hypervisor berpotensi melumpuhkan puluhan, bahkan ratusan VM sekaligus.

Inilah sebabnya mengapa hypervisor kini menjadi magnet baru bagi serangan ransomware.

 

Dari Target Biasa ke Target Bernilai Tinggi

Selama bertahun-tahun, ransomware umumnya menyasar endpoint seperti laptop pengguna, server aplikasi, atau sistem file. Namun seiring meningkatnya kesadaran keamanan, banyak organisasi mulai memperkuat pertahanan di level tersebut melalui EDR, firewall canggih, dan segmentasi jaringan. Akibatnya, para penyerang pun beradaptasi.

Berdasarkan pengamatan tim SOC dan perburuan ancaman Huntress, sepanjang tahun 2025 terjadi pergeseran signifikan dalam taktik pelaku ransomware. Data kasus menunjukkan lonjakan peran hypervisor dalam insiden ransomware: dari hanya sekitar 3% pada paruh pertama 2025, melonjak drastis menjadi 25% pada paruh kedua tahun yang sama. Angka ini menjadi sinyal kuat bahwa hypervisor kini masuk radar utama para penyerang.

Salah satu kelompok yang paling menonjol dalam tren ini adalah kelompok ransomware Akira. Mereka secara aktif memanfaatkan kelemahan di lapisan virtualisasi untuk memperbesar dampak serangan, menjadikan satu titik akses sebagai pintu masuk menuju kehancuran skala besar.

 

Hypervisor: Blind Spot Keamanan yang Berbahaya

Salah satu alasan utama hypervisor menjadi target empuk adalah keterbatasan visibilitas dan perlindungan keamanan. Tidak seperti endpoint tradisional yang dilengkapi agen keamanan, hypervisor—terutama tipe 1 (bare metal)—sering kali tidak dapat dipasangi solusi EDR atau antivirus konvensional.

Hypervisor tipe 1 berjalan langsung di atas perangkat keras server tanpa sistem operasi umum, sementara hypervisor tipe 2 berjalan di atas OS host. Pada kedua model ini, kontrol keamanan tradisional sering kali tidak menjangkau lapisan inti, menciptakan titik buta yang sangat menarik bagi penyerang.

Kondisi ini mengingatkan pada pola serangan terhadap perangkat VPN beberapa tahun lalu. Ketika sistem operasi bersifat tertutup dan tidak memungkinkan pemasangan agen keamanan, pelaku ancaman melihat peluang besar. Pola yang sama kini berulang pada hypervisor.

Dalam beberapa insiden yang diamati Huntress, operator ransomware bahkan tidak perlu menyebarkan malware ke masing-masing VM. Mereka langsung beroperasi dari hypervisor itu sendiri. Dengan memanfaatkan alat bawaan seperti openssl, penyerang dapat mengenkripsi volume VM tanpa mengunggah biner ransomware khusus. Teknik ini membuat serangan semakin sulit terdeteksi karena tidak ada file mencurigakan yang berjalan di dalam VM.

Setelah mendapatkan akses awal ke jaringan penyerang melakukan pergerakan lateral menuju antarmuka manajemen hypervisor. Jika segmentasi jaringan lemah dan kredensial administratif tersedia, langkah ini relatif mudah dilakukan.

Begitu berada di hypervisor, posisi penyerang meningkat drastis. Dari satu konsol manajemen, mereka dapat mematikan perlindungan endpoint di VM, mengubah konfigurasi keamanan, merusak virtual switch, hingga mempersiapkan penyebaran ransomware secara serentak.

Beberapa kasus juga menunjukkan penyalahgunaan utilitas manajemen Hyper-V untuk memodifikasi pengaturan VM, melemahkan kontrol keamanan, dan menciptakan kondisi ideal bagi enkripsi massal.

 

Dampak Serangan yang Berlipat Ganda

Serangan terhadap hypervisor bukan hanya soal enkripsi data. Dampaknya jauh lebih luas. Operasional bisnis bisa lumpuh total karena banyak sistem kritis terdampak sekaligus. Proses pemulihan pun menjadi lebih kompleks karena administrator harus menangani kerusakan di tingkat infrastruktur, bukan sekadar memulihkan satu atau dua server.

Inilah yang membuat hypervisor menjadi target strategis: satu akses, dampak berlipat.

 

Strategi Penting Mengamankan Hypervisor

Melihat ancaman yang terus berkembang, organisasi tidak bisa lagi memperlakukan hypervisor sebagai “lapisan aman secara default”. Perlindungan harus diterapkan dengan ketelitian yang sama seperti pada endpoint dan server kritis.

Berikut beberapa langkah penting yang perlu dilakukan.

  • Pertama, amankan akses administratif.
    Jika penyerang berhasil memperoleh kredensial admin hypervisor, mereka pada dasarnya memegang kunci seluruh lingkungan virtual. Hindari penggunaan akun admin domain umum untuk manajemen hypervisor. Sebagai gantinya, gunakan akun ESXi lokal khusus atau akun domain dengan hak akses sangat terbatas dan diaudit secara ketat. Pemisahan ini mencegah akses langsung ke hypervisor jika akun domain utama disusupi.
  • Kedua, terapkan otentikasi multi-faktor (MFA).
    MFA kini bukan lagi opsi tambahan, melainkan keharusan. Terapkan MFA pada antarmuka manajemen host dan akses vCenter. Dengan MFA, kredensial yang dicuri melalui phishing atau brute-force tidak langsung memberikan akses. Ini secara signifikan meningkatkan hambatan bagi penyerang.
  • Ketiga, gunakan kredensial yang kuat dan tersimpan aman.
    Kata sandi hypervisor harus unik, kompleks, dan hanya disimpan di brankas kata sandi yang aman. Hindari menyimpan kredensial di dokumen bersama, email, atau sistem manajemen kata sandi yang tidak terlindungi dengan baik.
  • Keempat, pisahkan jaringan manajemen.
    Jaringan manajemen hypervisor harus terpisah dari jaringan produksi dan jaringan pengguna umum. Gunakan VLAN atau segmen jaringan khusus agar hanya perangkat tertentu yang dapat mengakses antarmuka manajemen. Semakin sedikit titik yang bisa menjangkau hypervisor, semakin kecil peluang serangan.
  • Kelima, manfaatkan jump box atau bastion server.
    Semua akses administratif sebaiknya melewati jump box atau bastion server yang dipantau. Dengan cara ini, koneksi langsung dari workstation admin yang berpotensi terinfeksi dapat dihindari. Jump box memungkinkan pencatatan aktivitas, perekaman sesi, dan penegakan kebijakan keamanan secara terpusat.
  • Keenam, terapkan prinsip hak akses minimal (Least Privilege).
    Batasi akses ke control plane seperti vCenter dan host individual hanya pada peran yang benar-benar diperlukan. Baik akun manusia maupun akun layanan harus memiliki izin seminimal mungkin. Dengan prinsip ini, dampak kompromi satu akun dapat ditekan seminimal mungkin.
  • Ketujuh, batasi akses berdasarkan perangkat.
    Akses ke antarmuka manajemen hypervisor sebaiknya hanya diizinkan dari perangkat admin khusus dengan alamat IP statis. Lapisan pembatasan tambahan ini membantu memastikan hanya endpoint yang benar-benar tepercaya yang dapat mencoba terhubung.

 

Mengunci Runtime Hypervisor: Benteng Terakhir Melawan Ransomware Skala Besar

Seiring meningkatnya serangan ransomware yang menyasar infrastruktur virtualisasi, perhatian para profesional keamanan TI kini tertuju pada satu lapisan krusial yang selama ini kerap luput dari sorotan: runtime hypervisor. Jika sebelumnya fokus pertahanan lebih banyak diarahkan pada endpoint, server aplikasi, dan jaringan, kini para penyerang justru membidik fondasi yang menopang semuanya.

Hypervisor bare-metal seperti VMware ESXi menjadi target bernilai tinggi karena satu keberhasilan kompromi saja dapat berdampak masif. Ketika penyerang berhasil menembus host hypervisor, mereka tidak lagi dibatasi oleh mekanisme keamanan sistem operasi tamu (guest OS). Pada titik ini, ransomware dapat dijalankan langsung di tingkat hypervisor, melewati EDR, antivirus, dan kontrol keamanan di dalam VM.

Inilah sebabnya penguncian environment runtime hypervisor dan penerapan kontrol eksekusi kode menjadi langkah krusial yang tidak bisa ditawar.

 

1. Risiko Unik Ransomware di Tingkat Hypervisor

Berbeda dengan ransomware tradisional yang harus masuk ke setiap endpoint atau server, ransomware tingkat hypervisor bekerja dari “atas”. Penyerang cukup menguasai satu host ESXi untuk mendapatkan kendali atas seluruh VM yang berjalan di atasnya.

Begitu berada di tingkat ini, pelaku dapat:

  • Mengenkripsi file VMDK secara langsung,
  • Memanipulasi konfigurasi VM,
  • Menonaktifkan perlindungan keamanan,

Bahkan menjalankan perintah enkripsi massal tanpa meninggalkan jejak malware konvensional.

Tanpa pengamanan runtime yang ketat, hypervisor pada dasarnya menjadi lingkungan bebas bagi eksekusi kode berbahaya.

 

2. Mengunci Eksekusi Kode di Host Hypervisor

Langkah pertama yang sangat direkomendasikan adalah memastikan bahwa host hypervisor hanya dapat menjalankan kode yang benar-benar tepercaya. Pada VMware ESXi, hal ini dapat dilakukan dengan mengaktifkan pengaturan lanjutan:

  • VMkernel.Boot.execInstalledOnly = TRUE 

Dengan pengaturan ini, ESXi hanya mengizinkan eksekusi biner yang diinstal melalui VIB (vSphere Installation Bundle) yang ditandatangani secara resmi. Artinya, biner khusus atau skrip berbahaya yang diunggah langsung oleh penyerang tidak akan bisa dijalankan.

Kontrol ini secara signifikan mempersempit ruang gerak ransomware yang mengandalkan eksekusi langsung di host.

Selain itu, layanan-layanan yang tidak diperlukan harus dinonaktifkan. Akses SSH dan ESXi Shell, misalnya, hanya boleh diaktifkan saat benar-benar dibutuhkan untuk pemeliharaan, lalu segera ditutup kembali. Mengaktifkan lockdown mode juga menjadi langkah penting untuk membatasi akses administratif langsung ke host.

Semakin sedikit pintu yang terbuka, semakin kecil peluang penyerang untuk masuk dan bertahan.

 

3. Patching: Masalah Klasik yang Masih Jadi Penyebab Utama

Meskipun sering dianggap sepele, patching tetap menjadi salah satu faktor terpenting dalam keamanan hypervisor. Penyerang secara aktif mengeksploitasi kerentanan ESXi yang sudah diketahui untuk melakukan operasi enkripsi massal.
Dalam banyak kasus, kompromi tidak selalu terjadi karena eksploitasi zero-day yang canggih. Justru kelalaian dalam menerapkan patch dan segmentasi keamanan menjadi penyebab paling umum.

Salah satu contoh nyata adalah CVE-2024-37085, kerentanan serius yang memungkinkan penyerang dengan izin Active Directory tertentu untuk melewati proses autentikasi dan langsung mengambil alih kendali administratif penuh atas host ESXi. Dalam skenario ini, semua VM dapat dienkripsi hanya dalam hitungan detik.

Kerentanan ini terjadi karena host ESXi yang rentan secara otomatis memberikan hak admin penuh kepada grup AD bernama “ESX Admins”. Pelaku ancaman cukup membuat ulang grup tersebut di Active Directory untuk langsung mendapatkan kontrol total.

Lebih buruk lagi, kompromi awal sering kali dimulai dari antarmuka manajemen yang belum ditambal atau protokol yang terekspos ke jaringan, seperti Service Location Protocol (SLP) di port 427. Protokol ini telah menjadi vektor serangan favorit kelompok ransomware seperti ESXArgs.

Praktik Terbaik dalam Manajemen Patch dan Permukaan Serangan

Untuk meminimalkan risiko, organisasi perlu menerapkan pendekatan disiplin terhadap patching dan pengelolaan layanan:

  • Buat inventaris lengkap seluruh host ESXi dan komponen manajemen seperti vCenter, termasuk status patch masing-masing.
  • Prioritaskan pembaruan keamanan, terutama CVE yang berdampak langsung pada hypervisor.
  • Nonaktifkan layanan yang tidak diperlukan dan pastikan tidak ada layanan manajemen yang terekspos ke internet.
  • Nonaktifkan SLP (port 427) jika tidak digunakan dan ikuti panduan resmi perbaikan dari VMware.
  • Pastikan manajemen ESXi hanya dapat diakses melalui VPN, jaringan manajemen terisolasi, atau bastion host.

Langkah-langkah ini secara signifikan mengurangi peluang eksploitasi massal.

 

4. Cadangan dan Pemulihan: Garis Pertahanan Terakhir

Tidak ada sistem yang sepenuhnya kebal. Karena itu, strategi pencadangan dan pemulihan menjadi fondasi terakhir dalam menghadapi ransomware hypervisor. Tanpa cadangan yang andal, organisasi sering kali dipaksa membayar tebusan demi memulihkan operasional.
Pendekatan yang direkomendasikan adalah aturan 3-2-1:

  • Tiga salinan data,
  • Disimpan di dua media berbeda,
  • Dengan satu salinan berada di luar lokasi atau terpisah dari jaringan hypervisor.

Gunakan repositori cadangan atau snapshot immutable, sehingga data tidak dapat dimodifikasi atau dihapus meskipun ransomware berhasil masuk.
Yang tidak kalah penting, repositori cadangan jangan dihubungkan ke Active Directory. Gunakan akun lokal terpisah yang tidak tergabung dalam domain untuk mencegah penyebaran ransomware melalui kredensial AD yang disusupi.

Pastikan cadangan mencakup citra VM lengkap serta konfigurasi hypervisor, agar proses pemulihan dapat dilakukan dengan cepat dan menyeluruh.
Pengujian juga tidak boleh diabaikan. Cadangan harus diuji secara rutin, bukan hanya dengan memastikan file dapat diakses, tetapi juga memastikan sistem benar-benar dapat dijalankan dan login berhasil.

Latihan pemulihan penuh setidaknya setahun sekali sangat disarankan, termasuk pengujian di lokasi cadangan, validasi jaringan, dan pengecekan aturan firewall agar layanan penting seperti EDR, VPN, dan RMM tetap berfungsi.

 

5. Deteksi Dini: Melihat yang Tak Terlihat

Karena hypervisor sering berada di luar jangkauan EDR, organisasi membutuhkan strategi deteksi alternatif. Banyak serangan ransomware diawali dengan aktivitas mencurigakan, seperti:

  • Perubahan tingkat penerimaan VIB,
  • Aktivasi SSH,
  • Penonaktifan lockdown mode,
  • Pembuatan akun admin baru.

Tanpa pemantauan, aktivitas ini sering luput hingga proses enkripsi selesai.
Langkah penting yang perlu dilakukan adalah meneruskan log ESXi ke sistem SIEM dan membuat peringatan untuk kejadian kritis. Log penting yang harus dipantau meliputi:

  • /var/log/auth.log  untuk autentikasi,
  • /var/log/hostd.log  untuk aktivitas agen host,
  • /var/log/shell.log  untuk perintah shell,
  • /var/log/vobd.log  untuk peristiwa internal VMware.

Selain itu, pantau lalu lintas jaringan manajemen. Akses dari IP yang tidak biasa, pola IO datastore yang ekstrem, atau upaya pergerakan lateral harus segera ditandai.

Pendekatan zero-trust sangat relevan di sini: anggap kredensial dapat disalahgunakan kapan saja, dan bangun deteksi berdasarkan asumsi tersebut.

 

6. Kolaborasi SOC dan Tim Internal

Bagi organisasi yang bermitra dengan SOC atau MDR pihak ketiga, penting untuk menerapkan model tanggung jawab bersama. SOC eksternal unggul dalam mendeteksi pola kejahatan umum, seperti eksekusi ransomware. Namun, konteks bisnis—seperti pemeliharaan tengah malam atau perubahan terjadwal—hanya diketahui oleh tim internal.
Karena itu, komunikasi perubahan dan kepatuhan terhadap prosedur kontrol perubahan menjadi kunci agar deteksi tidak salah tafsir dan respons dapat dilakukan secara efektif.

 

Kesimpulan

Melindungi hypervisor bare-metal seperti ESXi dari ransomware membutuhkan pendekatan berlapis dan proaktif. Tidak cukup hanya mengandalkan satu kontrol keamanan. Mulai dari penguncian runtime dan kontrol eksekusi kode, patching yang disiplin, pengelolaan layanan, strategi cadangan yang matang, hingga deteksi dan pencatatan log yang menyeluruh—semuanya harus berjalan selaras.

Di era ransomware modern, hypervisor bukan lagi sekadar komponen teknis di balik layar, melainkan medan pertempuran utama yang menentukan kelangsungan operasional bisnis.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait