Seit dem 3. Februar läuft eine weltweite Angriffswelle mit Ransomware auf Server mit VMwares Virtualisierungslösung ESXi. Ausgenutzt wird eine 2 Jahre alte Schwachstelle, für die eigentlich seit langem Patches zur Verfügung stehen. Trotzdem soll die Zahl der betroffenen Server in die Tausenden gehen. Die Security-Firma Censys listet aktuell alleine in Frankreich 738 und in Deutschland 243 mit der Ransomware "ESXiArgs" kompromittierte Server auf.

VMware schreibt in einem Blogbeitrag, es gebe keine Hinweise, dass bei den Angriffen eine unbekannte Zero-Day-Lücke ausgenutzt werde. Das Unternehmen empfiehlt, "auf die neuesten verfügbaren unterstützten Versionen von vSphere-Komponenten zu aktualisieren, um derzeit bekannte Schwachstellen zu beheben". Darüber hinaus soll der OpenSLP-Dienst in ESXi deaktiviert werden.

Reagiert hat auch die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA). Sie hat ein Wiederherstellungsskript für Organisationen veröffentlicht, die Opfer von ESXiArgs-Ransomware geworden sind. Wie 'Bleeping Computer' schreibt, seien zwar viele Server verschlüsselt worden. Die Angriffe seien aber "weitgehend erfolglos, da die Bedrohungsakteure es versäumten, Flatfiles zu verschlüsseln, in denen die Daten für virtuelle Laufwerke gespeichert sind".

Hier setzt das CISA-Skript an, welches auf eine von den Sicherheitsforschern Enes Sonmez und Ahmet Aykac vom Yoregroup Tech Team entwickelte Methode zurückgreift, um virtuelle Maschinen aus unverschlüsselten Flatfiles neu zu erstellen. "Dieses Tool rekonstruiert Metadaten virtueller Maschinen von virtuellen Laufwerken, die nicht von der Malware verschlüsselt wurden", erklärt die CISA. Das Skript "ESXiArgs-Recover" ist auf Github verfügbar.