Ransomware-Angriff zielt auf VMware ESXi-Server weltweit
Februar 2023 von Chris Dobrec, VP Product & Industry Solutions, Armis
Seit dem 3. Februar 2023 zielen Angreifer aktiv auf VMware ESXi-Server ab, die nicht gegen eine zwei Jahre alte Sicherheitslücke für Remotecodeausführung gepatcht waren, um eine neue ESXiArgs-Ransomware zu installieren.
Laut einem Bericht bei BleepingComputer meldeten sich darauf zahlreiche betroffene Administratoren in deren Forum. Die Angreifer nutzen eine Schwachstelle, um sich Zugang zu den Servern zu verschaffen, und verschlüsseln dann die auf ihnen gehosteten virtuellen Maschinen. Sie verlangen eine Lösegeldzahlung für die Entschlüsselung der Daten. Der Angriff scheint von einer gut finanzierten und organisierten Gruppe durchgeführt zu werden und ist sehr effektiv, da ESXi-Server häufig in kritischen Infrastrukturen eingesetzt werden und schwer abzusichern sind.
Die als CVE-2021-21974 verfolgte Sicherheitslücke wird durch einen Heap-Überlauf im OpenSLP-Dienst verursacht, der von nicht authentifizierten Bedrohungsakteuren in Angriffen mit geringem Schwierigkeitsgrad ausgenutzt werden kann. Um eingehende Angriffe zu blockieren, müssen Administratoren den anfälligen Service Location Protocol (SLP)-Dienst auf ESXi-Hypervisoren, die noch nicht aktualisiert wurden, deaktivieren.
CVE-2021-21974 betrifft die folgenden Systeme:
ESXi-Versionen 7.x vor ESXi70U1c-17325551
ESXi-Versionen 6.7.x vor ESXi670-202102401-SG
ESXi-Versionen 6.5.x vor ESXi650-202102101-SG
In Fällen, in denen das Patchen von CVE-2021-21974 Zeit in Anspruch nehmen wird, ist zu beachten, dass VMware auch Workarounds veröffentlicht hat, um das Risiko einer Ausnutzung zu verringern.
Vielen Unternehmen fehlt es an einer Übersicht und Kategorisierung ihrer IT-Assets. Die Ergebnisse des „The State of Cyberwarfare and Trends Report 2022-2023“ zeigen auf, dass nur 27 Prozent der Befragten aus Deutschland, Österreich und der Schweiz angaben, dass ihre Firmen in Asset-Management investieren. Die Plattform von Armis hilft, von ESXiArgs-Ransomware betroffene Assets zu finden und zu identifizieren.
- Ransomware: Prävention und Vorgehen bei einem Angriff auf die Unternehmensdaten
- Ransomware-Gruppen unter Druck – Nachholbedarf bei Visibilität bleibt Priorität
- Gefahr durch Hive gebannt?
- Ransomware-Angriffe zielen auf immer größere Unternehmen ab, während immer weniger Opfer das Lösegeld zahlen
- Berüchtigte IceFire-Ransomware ist zurück und attackiert jetzt auch Linux-Systeme
- Sechs Jahre nach WannaCry: Warum Ransomware nach wie vor ein Problem ist
- SentinelOne beleuchtet die neue Hypervisor-Ransomware
- Vice Society mit eigener Ransomware unterwegs
- Logpoint warnt: BianLian Ransomware mit verschlüsselungsfreier Erpressung
- DLL-Hijacking im asiatischen Glücksspielsektor
- KMU im Fadenkreuz: Die Ransomware-Gruppe 8base steigert ihre Aktivität erheblich
- Check Point zum Ransomware-Angriff auf MGM Resorts
- Glimm, Glammer, Ransomware
- Aufgedeckte Schleichfahrt: Analyse einer modernen „Musterattacke“
- Cactus: der Ransomware-Neuling mit ausgefeilten TTPs