In den letzten Tagen wurden weltweit VMware ESXi Server von einer neuen Ransomware-Variante angegriffen. Diese hat bereits mindestens 120 Server kompromittiert, darunter 86 in Frankreich und 44 in Deutschland.
Angriffe auf ESXi Server vor Version 7.0 U3i
Die Angriffe zielen auf ungepatchte ESXi Server vor Version 7.0 U3i ab.
Hier eine Auflistung von BleepingComputer.com:
CVE-2021-21974 affects the following systems:
- ESXi versions 7.x prior to ESXi70U1c-17325551
- ESXi versions 6.7.x prior to ESXi670-202102401-SG
- ESXi versions 6.5.x prior to ESXi650-202102101-SG
Die Cyberkriminellen nutzen offenbar den OpenSLP-Port (427) für den Zugang zu den Servern. In jeder Lösegeldforderung ist eine andere Bitcoin-Wallet angegeben, aber es gibt keine bekannte Website oder Gruppenidentifikation für die Erpresser.
Es ist noch unklar, wer für diese Ransomware-Attacken verantwortlich ist. Michael Gillespie von Malewarehunter (ID Ransomware) beobachtet das Geschehen und warnt, dass es ohne Proben keine Möglichkeit gibt, die Verschlüsselung auf Schwachstellen zu überprüfen.
Lösungsmöglichkeiten für betroffene Server-Admins
Betroffene Server-Admins haben Grund zur Hoffnung, da in vielen Fällen nur die Konfigurationsdateien der VMware Servervirtualisierungssoftware verschlüsselt wurden. Ein Sicherheitsforscher hat einen möglichen “Workaround” veröffentlicht, bei dem man die verschlüsselten Konfigurationsdateien löscht, eine neue virtuelle Maschine erstellt, die Konfigurationsdatei auf die neue Maschine überträgt und die verschlüsselten Rechnernamen ersetzt. Dann muss man die virtuellen Maschinen nur noch bei VMware registrieren.
Anleitung laut Habib Karataş:
(Ohne Gewähr auf Richtigkeit / Jedoch mit ersten erfolgreichen Rückmeldungen)
1 – Löschen Sie die verschlüsselten Konfigurationsdateien.
2 – Erstellen Sie eine leere virtuelle Maschine.
3 – Öffnen Sie die Konfigurationsdatei auf der neuen Maschine und legen Sie sie in das Verzeichnis Ihrer verschlüsselten Maschinen.
4 – Ersetzen Sie die Informationen in der Konfigurationsdatei durch die verschlüsselten Rechnernamen.
5 – Gehen Sie zum Vmware-Bildschirm und “VM registrieren” und das war es auch schon.
Fazit
Dieser neue Ransomware-Angriff ist schnell und weit verbreitet. Administratoren sollten sicherstellen, dass ihre ESXi Server auf dem neuesten Stand sind, um vor solchen Angriffen geschützt zu sein. Falls das nicht möglich ist, muss der OpenSLP Port (427) dringend deaktiviert werden. Sollten die Server bereits betroffen sein, gibt es den “Workaround”, um die verschlüsselten Konfigurationsdateien wiederherzustellen. Es ist wichtig, die Lage genau zu beobachten und Informationen zu sammeln, um besser auf solche Angriffe vorbereitet zu sein.
Finde weitere hilfreiche Beiträge: ITS-Farin Blog
