Seit dem 3. Februar häufen sich die Warnungen von Cybersecurity-Behörden vor einer neuen Ransomware-Angriffswelle. Diejenige in Italien warnt ebenso wie ANSSI in Frankreich und das deutsche BSI. Laut Berichten wurden bei einem weltweit breit gestreuten Angriff tausende Server, auf denen VMwares Virtualisierungslösung ESXi zum Einsatz kommt, mit Ransomware infiziert und verschlüsselt. Die Schwerpunkte der Angriffe lagen dabei in Italien, Frankreich, den USA, Deutschland und Kanada, aber auch weitere Länder seien betroffen.

In Frankreich sei der erste Vorfall am vergangenen Freitag um die Mittagszeit bekannt geworden, berichtet 'LeMagIT'. Ein Mitarbeiter von Nice Météo 06 meldete auf Twitter Computerprobleme. "Die Maschine ist ein ESXi-Host, und ich werde nach 2 Bitcoin gefragt." "Er wusste es wahrscheinlich noch nicht, aber er war noch lange nicht allein", kommentiert das französische IT-Magazin. Der angeforderte Betrag sei für jede kompromittierte Maschine gleich: 2 BTC. Bezahlt werden soll über eine Bitcoin-Adresse, die anscheinend exklusiv für jeden Server erreichbar ist.

In Cybersecurity-Kreisen wurde die Ransomware "ESXiArgs" getauft, da die Malware die Erweiterung ".args" auf verschlüsselte Dateien anwendet. Ein Datenabgriff sei bis jetzt nicht beobachtet worden. Wer hinter den Angriffen steckt, ist unklar. Die italienische Regierung erklärte, dass es sich vermutlich um das Werk von Cyberkriminellen handle. "Es sind keine Beweise aufgetaucht, die auf eine Aggression durch einen Staat oder eine feindliche staatsähnliche Einheit hindeuten."

Gegenüber 'Reuters' sagte Daniel Card, ein britischer Berater für Cybersicherheit, die Angriffe seien ziemlich effektiv, hätten aber unterschiedliche Auswirkungen. "Eine Reihe von Unternehmen haben ihre virtuellen Maschinen wiederhergestellt, ohne auf ein Backup zurückgreifen zu müssen. Die Angriffe scheinen hauptsächlich auf Opfer in westlichen Ländern abzuzielen, sehen aber nicht sehr raffiniert aus", so Card.

Bekannt ist hingegen das Einfallstor. "Die Täter machten sich eine länger bekannte Schwachstelle im OpenSLP Service der Anwendung zu Nutze, bei der ein 'Heap Overflow' angestossen und dadurch letztendlich Code aus der Ferne ausgeführt werden kann", schreibt das BSI in seiner Warnung (PDF) und stuft die Bedrohungslage mit "3 / Orange" ein. Die massenhafte Ausnutzung der Lücke durch Ransomware könne zu erheblichen Beeinträchtigungen der Abläufe in zahlreichen Organisationen führen.

Es handelt sich um die Schwachstelle "CVE-2021-21974", die ESXi 7.0, 6.7 und 6.5 betrifft. Ein Patch wurde von VMware bereits im Februar 2021 veröffentlicht. "Organisationen, die jetzt noch verwundbar sind, sollten die Schwachstelle schnell schliessen und ihre internen Prozesse zum Patchmanagement verbessern. Auch sollte nochmal die Notwendigkeit und Art der Erreichbarkeit eigener Systeme aus dem Internet bzw. Intranet überprüft werden", empfiehlt das BSI.