ESXiArgs-Ransomware zielt auf ungepatchte VMware ESXi-Server
Administratoren, Hosting-Provider und das französische Computer Emergency Response Team (CERT-FR) haben vor einem neuen Ransomware-Angriff namens ESXiArgs gewarnt, der auf VMware ESXi-Server abzielt, die nicht gegen eine zwei Jahre alte Sicherheitslücke zur Ausführung von Remotecode gepatcht wurden.
Die Sicherheitslücke mit der Bezeichnung CVE-2021-21974 wird durch einen Heap-Überlauf im OpenSLP-Dienst verursacht, der von nicht authentifizierten Angreifern in Angriffen mit geringem Schwierigkeitsgrad ausgenutzt werden kann. Die Schwachstelle betrifft die ESXi-Versionen 7.x vor ESXi70U1c-17325551, ESXi-Versionen 6.7.x vor ESXi670-202102401-SG und ESXi-Versionen 6.5.x vor ESXi650-202102101-SG.
Um eingehende Angriffe abzuwehren, wird Administratoren empfohlen, den anfälligen SLP-Dienst (Service Location Protocol) auf ESXi-Hypervisoren, die nicht aktualisiert wurden, zu deaktivieren und den Patch so bald wie möglich anzuwenden. Außerdem sollten Systeme, die noch nicht gepatcht wurden, auf Anzeichen für eine Gefährdung untersucht werden.
Bei der Ransomware-Kampagne verschlüsselten die Angreifer Dateien mit den Erweiterungen .vmxf, .vmx, .vmdk, .vmsd und .nvram auf kompromittierten ESXi-Servern und erstellten für jedes verschlüsselte Dokument eine .args-Datei mit Metadaten, die wahrscheinlich für die Entschlüsselung benötigt werden. Die Lösegeldzahlungen hielten sich jedoch in Grenzen: Es wurden nur vier Lösegeldzahlungen in Höhe von insgesamt 88.000 US-Dollar gemeldet. Dies könnte auf eine von einem Sicherheitsforscher erstellte Anleitung zur Wiederherstellung von VMware ESXi zurückzuführen sein, die es Administratoren ermöglicht, ihre virtuellen Maschinen neu zu erstellen und ihre Daten kostenlos wiederherzustellen.
Ursprünglich wurde angenommen, dass der Angriff mit der Ransomware-Operation in Nevada zusammenhängt. Die anschließende Untersuchung ergab jedoch, dass die bei diesem Angriff gesichteten Ransomware-Notizen nicht mit der Ransomware in Nevada zusammenzuhängen schienen, sondern zu einer neuen Ransomware-Familie gehörten. Die ESXiArgs-Ransomware wird von Michael Gillespie von ID Ransomware verfolgt, der sagte, dass es bis zum Auffinden einer Probe nicht möglich ist, festzustellen, ob sie Schwachstellen in der Verschlüsselung aufweist.
Abschließend ist es für Administratoren wichtig, ihre VMware ESXi-Server zu aktualisieren und den OpenSLP-Dienst zu deaktivieren, um sich vor diesem Ransomware-Angriff zu schützen. Im Falle eines Einbruchs wird Administratoren empfohlen, eine Kopie des ESXiArgs-Verschlüsselungsprogramms und des zugehörigen Shell-Skripts abzurufen, um den Angriff besser zu verstehen und geeignete Schritte zur Wiederherstellung ihrer Daten zu unternehmen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.