Een wereldwijde ransomware-aanval heeft duizenden servers getroffen waarop de VMware ESxi hypervisor draait en naar verwachting zullen nog meer servers worden getroffen, volgens nationale cyberbeveiligingsinstanties en beveiligingsexperts over de hele wereld.
Het Franse Computer Emergency Response Team (CERT-FR) was de eerste die de aanval opmerkte en er een waarschuwing over verstuurde.
"Op maart<>CERT-FR is op de hoogte van een aanvalscampagne gericht op de VMware ESXi hypervisor met als doel om er ransomware op te implementeren," schreef CERT-FR.
[Instructies over wat je weet over deze computervirussen: definities, types en voorbeelden. | Schrijf je in voor de CSO nieuwsbrief! ]
Andere nationale cyberbeveiligingsinstanties - waaronder groepen in de Verenigde Staten, Frankrijk en Singapore - gaven ook waarschuwingen uit over de aanval. Servers in Frankrijk, Duitsland, Finland, de Verenigde Staten en Canada zouden zijn gecompromitteerd.
0 van 25 minuten en 14 seconden volume 0%
Tot nu toe zijn meer dan 3.200 servers over de hele wereld gecompromitteerd, volgens cyberbeveiligingsbedrijf Censys.
CERT-FR en anderen meldden dat de campagne misbruik maakte van de kwetsbaarheid CVE-2021-21974, waarvoor sinds 23 maart 2021 een patch beschikbaar is. Deze kwetsbaarheid beïnvloedt Service Location Protocol (SLP) services en stelt een aanvaller in staat om op afstand willekeurige code te misbruiken. CERT-FR verklaarde dat het huidige doelsysteem versie 6.x van de ESXi hypervisor is, wat ouder is dan versie 7.<>.
"SLP kan worden uitgeschakeld op elke ESXi-server die niet is bijgewerkt om het risico op compromittering verder te verkleinen," schreef CERT-FR in zijn bericht.
Volgens een waarschuwing van cyberbeveiligingsprovider DarkFeed in het weekend werden in Europa Frankrijk en Duitsland het meest getroffen door de aanvallen. Volgens DarkFeed werden de meeste gecompromitteerde servers in Frankrijk en Duitsland gehost door respectievelijk hostingproviders OVHcloud en Hetzner.
Een losgeldbrief voor slachtoffers van de aanval, openbaar gemaakt door DarkFeed, luidt gedeeltelijk: "Beveiligingsalarm! We hebben met succes uw bedrijf gecompromitteerd... Stuur het geld binnen 3 dagen of we geven wat gegevens vrij en verhogen de prijs.
In de beschrijving die DarkFeed aanhaalt, staat dat 2.01584 (ongeveer $23,000) naar een Bitcoin-portemonnee werd gestuurd, maar blijkbaar gebruikt de dreigingsacteur een andere portemonnee om de vergoeding te innen. "Interessant is dat de Bitcoin-wallet in elke losgeldbrief anders is. De groep heeft geen website, alleen een TOX ID," aldus DarkFeed.
Wereldwijde veiligheidsagentschappen geven advies aan beveiligingsteams.
Beheerders wordt aangeraden om bij te werken naar de nieuwste ESXi-versie
"Gebruikers en beheerders van getroffen productversies wordt geadviseerd onmiddellijk te upgraden naar de nieuwste versie. Als voorzorgsmaatregel moet ook een volledige systeemscan worden uitgevoerd om tekenen van aantasting te detecteren. Gebruikers en beheerders wordt ook geadviseerd om te evalueren of ransomware-activiteit gericht op poort 427 kan worden uitgeschakeld zonder de werking te verstoren", aldus het Singapore Computer Emergency Response Team (SingCERT) in een bericht.
Sinds de aanval aan het licht kwam, hebben beveiligingsonderzoekers de aanval geanalyseerd, soortgelijke adviezen uitgegeven en informatie toegevoegd.
"Upgrade naar de nieuwste versie van #ESXi en beperk de toegang tot de #OpenSLP-service tot vertrouwde IP-adressen," adviseerde beveiligingsonderzoeker Matthieu Garin in een Twitter-post. Garin geeft ook informatie die helpt bij het herstellen van losgeldbestanden. "De aanvaller versleutelt alleen het configuratiebestand, niet de vmdk-schijf waar de gegevens zijn opgeslagen. Dit is zeker erg nuttig!" aldus Galin.
Ondertussen zeiden Amerikaanse agentschappen dat ze de impact van de gemelde incidenten aan het beoordelen waren.
"CISA werkt samen met onze partners in de publieke en private sector om de impact van deze gerapporteerde incidenten te beoordelen en indien nodig hulp te bieden", aldus het Amerikaanse Cybersecurity and Infrastructure Security Agency in een rapport aan de media, volgens persbericht Reuters.
Onderzoekers merken op dat ransomware-aanvallers zich vaak richten op ontwikkelde landen.
"Ontwikkelde landen zijn over het algemeen vaker het doelwit van ransomware-aanvallen omdat ze meer middelen en Bitcoin hebben en eerder geneigd zijn om losgeldeisen te betalen," zegt Rahul Sasi, medeoprichter en CEO van cyberbeveiligingsbedrijf CloudSEK.
"Deze landen hebben ook een hogere dichtheid van waardevolle doelwitten, zoals grote bedrijven en overheidsinstellingen, die kwetsbaar zouden kunnen zijn voor een succesvolle aanval. Daarnaast hebben ontwikkelde landen over het algemeen een meer geavanceerde technologische infrastructuur, waardoor ze een aantrekkelijker doelwit vormen voor cybercriminelen die kwetsbaarheden uitbuiten," voegde Sasi toe.