Ein weltweiter Ransomware-Angriff hat Tausende von Servern betroffen, auf denen der VMware ESxi-Hypervisor läuft, und es wird erwartet, dass noch mehr Server betroffen sein werden, wie nationale Cybersecurity-Behörden und Sicherheitsexperten in aller Welt berichten.
Das französische Computer Emergency Response Team (CERT-FR) war das erste, das den Angriff bemerkte und eine Warnung darüber verschickte.
"Am März<>CERT-FR wurde auf eine Angriffskampagne aufmerksam, die auf den VMware ESXi-Hypervisor abzielt, um Ransomware darauf zu installieren", schrieb CERT-FR.
[Was wissen Sie über diese Computerviren: Definitionen, Typen und Beispiele. | Melden Sie sich für den CSO-Newsletter an! ]
Andere nationale Cybersicherheitsbehörden - darunter Gruppen in den Vereinigten Staaten, Frankreich und Singapur - gaben ebenfalls Warnungen über den Angriff heraus. Berichten zufolge wurden Server in Frankreich, Deutschland, Finnland, den Vereinigten Staaten und Kanada angegriffen.
0 von 25 Minuten und 14 Sekunden Volumen 0%
Nach Angaben des Cybersicherheitsunternehmens Censys wurden bisher mehr als 3.200 Server in der ganzen Welt angegriffen.
CERT-FR und andere berichteten, dass die Kampagne die Sicherheitslücke CVE-2021-21974 ausnutzte, für die seit dem 23. März 2021 ein Patch verfügbar ist. Diese Sicherheitslücke betrifft Service Location Protocol (SLP)-Dienste und ermöglicht es einem Angreifer, beliebigen Code aus der Ferne auszunutzen. Laut CERT-FR handelt es sich bei dem aktuellen Zielsystem um die Version 6.x des ESXi-Hypervisors, die älter als Version 7 ist.<>.
"SLP kann auf jedem ESXi-Server, der nicht aktualisiert wurde, deaktiviert werden, um das Risiko einer Kompromittierung weiter zu verringern", schreibt das CERT-FR in seiner Mitteilung.
Laut einer Warnung des Cybersicherheitsanbieters DarkFeed vom Wochenende waren in Europa vor allem Frankreich und Deutschland von den Angriffen betroffen. Laut DarkFeed wurden die meisten der in Frankreich und Deutschland angegriffenen Server von den Hosting-Anbietern OVHcloud bzw. Hetzner gehostet.
In einer Lösegeldforderung an die Opfer des Angriffs, die von DarkFeed veröffentlicht wurde, heißt es unter anderem: "Sicherheitswarnung! Wir haben Ihr Unternehmen erfolgreich kompromittiert... Überweisen Sie das Geld innerhalb von 3 Tagen oder wir werden einige Daten preisgeben und den Preis erhöhen.
In der von DarkFeed zitierten Beschreibung heißt es, dass 2,01584 (ca. $23.000) an eine Bitcoin-Wallet gesendet wurden, aber offenbar verwendet der Bedrohungsakteur eine andere Wallet, um die Gebühr einzutreiben. "Interessanterweise sind die Bitcoin-Wallets in jeder Lösegeldforderung unterschiedlich. Die Gruppe hat keine Website, nur eine TOX-ID", so DarkFeed.
Globale Sicherheitsagenturen beraten die Sicherheitsteams.
Administratoren wird empfohlen, auf die neueste ESXi-Version zu aktualisieren
"Benutzern und Administratoren der betroffenen Produktversionen wird empfohlen, sofort auf die neueste Version zu aktualisieren. Als Vorsichtsmaßnahme sollte auch ein vollständiger Systemscan durchgeführt werden, um Anzeichen einer Kompromittierung zu erkennen. Benutzer und Administratoren sollten außerdem prüfen, ob Ransomware-Aktivitäten, die auf Port 427 abzielen, deaktiviert werden können, ohne den Betrieb zu unterbrechen", so das Singapore Computer Emergency Response Team (SingCERT) in einer Mitteilung.
Seit dem Bekanntwerden des Angriffs haben Sicherheitsforscher den Angriff analysiert, ähnliche Hinweise herausgegeben und Informationen hinzugefügt.
"Aktualisieren Sie auf die neueste Version von #ESXi und beschränken Sie den Zugriff auf den #OpenSLP-Dienst auf vertrauenswürdige IP-Adressen", rät der Sicherheitsforscher Matthieu Garin in einem Twitter-Post. Garin liefert auch Informationen, die bei der Wiederherstellung von Lösegelddateien helfen. "Der Angreifer verschlüsselt nur die Konfigurationsdatei, nicht die vmdk-Diskette, auf der die Daten gespeichert sind. Das ist definitiv sehr nützlich!" sagte Galin.
Unterdessen erklärten die US-Behörden, dass sie die Auswirkungen der gemeldeten Vorfälle bewerten.
"CISA arbeitet mit unseren Partnern aus dem öffentlichen und privaten Sektor zusammen, um die Auswirkungen dieser gemeldeten Vorfälle zu bewerten und bei Bedarf Unterstützung zu leisten", so die US-Behörde für Cybersicherheit und Infrastruktursicherheit in einem Bericht an die Medien, wie Reuters berichtet.
Die Forscher stellen fest, dass Ransomware-Angreifer häufig auf Industrieländer abzielen.
"Industrieländer sind im Allgemeinen häufiger Ziel von Ransomware-Angriffen, weil sie über mehr Ressourcen und Bitcoin verfügen und eher bereit sind, Lösegeldforderungen zu zahlen", so Rahul Sasi, Mitbegründer und CEO des Cybersecurity-Unternehmens CloudSEK.
"In diesen Ländern gibt es in der Regel auch eine höhere Dichte an wertvollen Zielen, wie z. B. große Unternehmen und Regierungsbehörden, die für einen erfolgreichen Angriff anfällig sein könnten. Außerdem verfügen entwickelte Länder in der Regel über eine fortschrittlichere technologische Infrastruktur, was sie zu einem attraktiven Ziel für Cyberkriminelle macht, die Schwachstellen ausnutzen", so Sasi weiter.