Ransomware-aanvallen verschuiven snel van individuele systemen naar de fundamenten van virtuele infrastructuur. Hypervisors zoals VMware ESXi en Microsoft Hyper-V zijn daarbij steeds vaker het primaire doelwit.
Aanvallers realiseren zich dat controle over deze laag directe impact heeft op alle onderliggende virtuele machines, waardoor één inbraak voldoende is om complete omgevingen te ontregelen.
Onderzoek van beveiligingsbedrijf Huntress laat zien hoe snel deze trend zich ontwikkelt. In de tweede helft van 2025 steeg het aandeel hypervisors in ransomware-incidenten van enkele procenten naar een kwart van alle waargenomen gevallen. Dat komt neer op een toename van honderden procenten, meldde The Register op basis van Huntress-data. De Akira-ransomwaregroep speelt hierin een dominante rol, maar ook andere aanvallers volgen hetzelfde patroon.
De motivatie achter deze verschuiving is pragmatisch. Hypervisors beschikken vaak over minder ingebouwde beveiliging en worden zelden beschermd door klassieke endpointdetectie. Net als eerder bij VPN-apparatuur ontdekken aanvallers dat ze hier een relatief slecht bewaakte ingang vinden. Eenmaal binnen kunnen ze ingebouwde beheerfunctionaliteit misbruiken om virtuele machines te stoppen, configuraties te wijzigen en opslag direct te versleutelen, soms zonder aparte ransomwarebestanden te installeren.
Aanvallen lastig te detecteren
In meerdere incidenten zagen onderzoekers hoe aanvallers na een eerste hack authenticatiegegevens hergebruikten om beheerinterfaces van hypervisors te bereiken. Vervolgens werd via managementtools beveiliging uitgeschakeld, netwerkconfiguraties aangepast en voorbereidingen getroffen voor grootschalige encryptie. Dat maakt deze aanvallen lastig te detecteren en zeer effectief.
De impact reikt verder dan on-premises datacenters. The Register wijst erop dat een succesvolle ontsnapping van een virtuele machine naar de hypervisor theoretisch ook grote gevolgen zou kunnen hebben voor publieke cloudomgevingen, aangezien die eveneens vertrouwen op hypervisors voor tenantisolatie. Hoewel zulke scenario’s zeldzaam zijn, onderstrepen ze hoe fundamenteel deze laag is.
Verdediging begint bij erkenning van dat risico. Hypervisors moeten worden behandeld als kritieke infrastructuur, met strikte toegangscontrole, multifactorauthenticatie, minimale blootstelling van managementinterfaces en consistente patching. Ook monitoring verdient extra aandacht, zodat afwijkende beheeracties of configuratiewijzigingen snel worden opgemerkt.
Zelfs dan blijft herstel cruciaal. Aanvallen op hypervisorniveau richten zich expliciet op virtuele disks en hostbestanden. Zonder goed gescheiden en regelmatig geteste backups ontbreekt een realistisch alternatief voor betalen. De conclusie is onontkoombaar: wie virtualisatie inzet, moet de hypervisor beschouwen als een primaire verdedigingslinie, niet als een vanzelfsprekende onderlaag.