Ransomware: Tausende von VMware ESXi-Servern wurden von einer riesigen Kampagne erfasst
(Aktualisiert am 6. Februar 2023 um 12:50 Uhr) Eine vollständige Zusammenfassung der Ereignisse des Wochenendes ist jetzt hier verfügbar.
(Aktualisiert am 4. Februar 2023 um 12:10 Uhr) Die spezialisierte Onyphe-Suchmaschine Listen mittlerweile mehr als 500 VMware ESXi-Systeme weltweit betroffen. Die betroffene Ransomware heißt vorerst ESXiArgs, geben unsere Kollegen aus Piepender Computer, da die Erweiterung verschlüsselter Dateien auf “.args” geändert wird. Leicht, etwa 49 Kb, die ausführbare Datei, die für die Verschlüsselung verantwortlich ist, wird von einem Shell-Skript gestartet.
Enes Sonmez vom technischen Team der YoreGroup hat über Nacht eine Schritt-für-Schritt-Anleitung erstellt, die nach übereinstimmenden Quellen funktioniert und es ermöglicht, verschlüsselte Dateien wiederherzustellen, ohne die Wiederherstellung von Backups durchlaufen zu müssen. Was möglicherweise hilft, den Neustart der betroffenen Dienste zu beschleunigen.
(Originalartikel, 3. Februar 2023 um 19:05 Uhr) Arnaud de Bermingham, Gründer und Präsident von Scaleway, klang Der Alarm kurz nach 14:30 Uhr, an diesem Freitag, 3. Februar, auf Twitter: “Wenn Sie ESXi 6.x verwenden, aktualisieren Sie sofort, ein Kryptolock breitet sich mit voller Geschwindigkeit aus”. Ikoula hatte es vorangegangen von wenigen Minuten. Doch für viele war es bereits zu spät.
Kurz nach 12:40 Uhr, Schönwetter 06 angegeben auf ein Problem auf seinem Computerserver stoßen. Eine Stunde später, sein Mitbegründer erklären : “Die Maschine ist ein ESXi-Host, und ich werde nach 2 BTC gefragt”. Sein Fall ist kein Einzelfall.
Der ESXi 6.7 Server eines spanischen OVHcloud Kunden ist Auch getroffen. Der beantragte Betrag ist derselbe. H2O Chambery-Radio scheint auch betroffen. Fanampiana hervorgerufen ein „technisches Problem“ mit seinem OVH Server. Auch Kunden des deutschen Hetzner scheinen betroffen zu sein.
Welche Ransomware?
Alle Lösegeldforderungen im Zusammenhang mit dieser Kampagne, die wir gesehen haben, verlangen den gleichen Betrag: etwas mehr als 2 Bitcoins innerhalb von drei Tagen. Die Zahlungsadressen sind für jedes Opfer unterschiedlich, aber die Tox-verschlüsselte Instant Messaging-ID ändert sich nicht.
Nevada Ransomware wurde kürzlich gemunkelt. erwähnen von ReSecurity. Aber die Lösegeldforderung, die heute auf kompromittierten ESXi-Servern zu sehen ist, passt nicht dazu: Sie erinnert eher an die CheersCrypt-Ransomware. Da zum Zeitpunkt der Veröffentlichung dieser Zeilen kein Muster verfügbar war, ist es jedoch unmöglich, eine Schlussfolgerung zu ziehen.
Dennoch ist Nevada eine Ransomware, die im Rahmen manueller Angriffe eingesetzt wird, wie zum Beispiel Avos, BlackCat, LockBit. So viele sogenannte „manuell betriebene“ Ransomware, die haben eine Linux/ESXi-Variante.
Die am 3. Februar gestartete Kampagne gegen ESXi-Server sieht eher aus wie eine groß angelegte automatisierte Operation, die sich die Ausnutzung von Schwachstellen zunutze macht, für die keine Patches angewendet wurden. Etwas zur Erinnerung an Kampagnen wie die, die NAS betrafen, mit Qlocker, eCh0raix oder Riegel.
Innerhalb weniger Stunden hat die spezialisierte Suchmaschine Shodan weltweit bereits 69 kompromittierte ESXi-Systeme identifiziert, darunter allein 25 in Frankreich. OVHcloud steht bei diesen Daten eindeutig an erster Stelle.
Welche Schwachstellen werden ausgenutzt?
Die in dieser Kampagne ausgenutzte(n) Schwachstelle(n) ist/sind zum Zeitpunkt der Veröffentlichung dieser Zeilen noch nicht vollständig geklärt. Scaleway bezog sich ursprünglich auf die vom Bulletin abgedeckte Serie VMSA-2022-0030 von letztem August. Andere haben vorgeschlagen, die auszunutzen CVE-2020-3992.
OVHcloud beschreitet einen anderen Weg: das Ausnutzen der Schwachstelle CVE-2021-21974. Die Kampagne zielt hauptsächlich auf ESXi-Server mit Versionen vor 7.0 U3i über deren OpenSLP-Port (427) ab. Ausnutzungsdemonstratoren dieser Schwachstelle sind öffentlich verfügbar verfügbar seit Mai 2021. VMware hatte veröffentlicht ein Alert Bulletin zu dieser Schwachstelle drei Monate zuvor.
