Globale Ransomware-Angriffswelle zielt auf VMware-Systeme

6. Februar 2023 um 15:06
image
Foto: Andrea de Santis / Unsplash

Tausende Server mit der Virtualisierungslösung ESXi sollen betroffen sein. Die ausgenutzte Schwachstelle ist seit langem bekannt.

Seit dem 3. Februar häufen sich die Warnungen von Cybersecurity-Behörden vor einer neuen Ransomware-Angriffswelle. Diejenige in Italien warnt ebenso wie ANSSI in Frankreich und das deutsche BSI. Laut Berichten wurden bei einem weltweit breit gestreuten Angriff tausende Server, auf denen VMwares Virtualisierungslösung ESXi zum Einsatz kommt, mit Ransomware infiziert und verschlüsselt. Die Schwerpunkte der Angriffe lagen dabei in Italien, Frankreich, den USA, Deutschland und Kanada, aber auch weitere Länder seien betroffen.
In Frankreich sei der erste Vorfall am vergangenen Freitag um die Mittagszeit bekannt geworden, berichtet 'LeMagIT'. Ein Mitarbeiter von Nice Météo 06 meldete auf Twitter Computerprobleme. "Die Maschine ist ein ESXi-Host, und ich werde nach 2 Bitcoin gefragt." "Er wusste es wahrscheinlich noch nicht, aber er war noch lange nicht allein", kommentiert das französische IT-Magazin. Der angeforderte Betrag sei für jede kompromittierte Maschine gleich: 2 BTC. Bezahlt werden soll über eine Bitcoin-Adresse, die anscheinend exklusiv für jeden Server erreichbar ist.

"Effektiv, aber nicht sehr raffiniert"

image
Mitteilung der Cyberkriminellen.
In Cybersecurity-Kreisen wurde die Ransomware "ESXiArgs" getauft, da die Malware die Erweiterung ".args" auf verschlüsselte Dateien anwendet. Ein Datenabgriff sei bis jetzt nicht beobachtet worden. Wer hinter den Angriffen steckt, ist unklar. Die italienische Regierung erklärte, dass es sich vermutlich um das Werk von Cyberkriminellen handle. "Es sind keine Beweise aufgetaucht, die auf eine Aggression durch einen Staat oder eine feindliche staatsähnliche Einheit hindeuten."
Gegenüber 'Reuters' sagte Daniel Card, ein britischer Berater für Cybersicherheit, die Angriffe seien ziemlich effektiv, hätten aber unterschiedliche Auswirkungen. "Eine Reihe von Unternehmen haben ihre virtuellen Maschinen wiederhergestellt, ohne auf ein Backup zurückgreifen zu müssen. Die Angriffe scheinen hauptsächlich auf Opfer in westlichen Ländern abzuzielen, sehen aber nicht sehr raffiniert aus", so Card.

Patch seit Februar 2021 verfügbar

Bekannt ist hingegen das Einfallstor. "Die Täter machten sich eine länger bekannte Schwachstelle im OpenSLP Service der Anwendung zu Nutze, bei der ein 'Heap Overflow' angestossen und dadurch letztendlich Code aus der Ferne ausgeführt werden kann", schreibt das BSI in seiner Warnung (PDF) und stuft die Bedrohungslage mit "3 / Orange" ein. Die massenhafte Ausnutzung der Lücke durch Ransomware könne zu erheblichen Beeinträchtigungen der Abläufe in zahlreichen Organisationen führen.
Es handelt sich um die Schwachstelle "CVE-2021-21974", die ESXi 7.0, 6.7 und 6.5 betrifft. Ein Patch wurde von VMware bereits im Februar 2021 veröffentlicht. "Organisationen, die jetzt noch verwundbar sind, sollten die Schwachstelle schnell schliessen und ihre internen Prozesse zum Patchmanagement verbessern. Auch sollte nochmal die Notwendigkeit und Art der Erreichbarkeit eigener Systeme aus dem Internet bzw. Intranet überprüft werden", empfiehlt das BSI.

Loading

Mehr erfahren

Mehr zum Thema

image

Weiterer Supply-Chain-Angriff auf Open-Source-Bibliothek

Cyberkriminelle wollten sich Zugang zu einem Open-Source-Projekt erschleichen. Das zeigt die Anfälligkeit von solchen Lösungen.

publiziert am 16.4.2024
image

Zero-Day-Lücke bedroht PAN-OS-Software von Palo Alto

Während drei Wochen konnten Hacker über eine kritische Schwachstelle in den betroffenen Systemen Remotecode ausführen. Der Hersteller empfiehlt dringende Massnahmen.

publiziert am 15.4.2024
image

Wo sich der Grossteil der Cybercrime-Aktivitäten abspielt

Eine Forschungsarbeit der Universität Oxford zeigt die globalen Cybercrime-Hotspots. Dies soll dem privaten wie öffentlichen Sektor helfen, Ressourcen gezielt einzusetzen.

publiziert am 12.4.2024
image

Podcast: Das Gesundheitswesen und die Cybersicherheit

Das Bundesamt für Gesundheit ist auf der Suche nach einem Dienstleister, der Unterstützung im Bereich Cybersicherheit bietet. In einer Ausschreibung haben wir mehrere Mängel festgestellt. In der aktuellen Podcast-Episode reden wir unter anderem darüber.

publiziert am 12.4.2024