Исследователи компании Sygnia обнаружили новый вектор атак на инфраструктуру VMware, позволяющий злоумышленникам развёртывать программы-вымогатели. Злоумышленники используют уязвимости (CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226) для выхода из виртуальных машин (VM), обхода средств безопасности и масштабного развёртывания программ-вымогателей. Атака начинается с компрометации веб-сервера, после чего злоумышленники повышают привилегии и получают доступ к гипервизору VMware ESXi, что позволяет им распространять вымогательское ПО по всей сети.

Киберэксперт, инженер L2 GSOC компании «Газинформсервис» Андрей Жданухин, объяснил, как компаниям действовать в подобных случаях: «В таких ситуациях центр мониторинга и реагирования на инциденты информационной безопасности компании "Газинформсервис" (GSOC) играет ключевую роль. Специалисты GSOC обеспечивают постоянный мониторинг и анализ событий безопасности, оперативно выявляя подозрительную активность, связанную с эксплуатацией уязвимостей VMware. Кроме того, GSOC проводит регулярные оценки безопасности и тестирование на проникновение, что позволяет выявлять и устранять потенциальные уязвимости до того, как они будут использованы злоумышленниками. Таким образом, сотрудничество с GSOC помогает организациям своевременно обнаруживать и предотвращать сложные атаки, защищая критически важные системы и данные от компрометации».