Europa: Tausende VMware-ESXi-Server mit Ransomware attackiert

B2B Cyber Security ShortNews

Beitrag teilen

Laut dem BSI – Bundesamt für Sicherheit in der Informationstechnik wurden bei einem weltweit breit gestreuten Angriff tausende Server, auf denen VMwares Virtualisierungslösung ESXi zum Einsatz kommt, mit Ransomware infiziert und viele auch verschlüsselt.

Die regionalen Schwerpunkte der Angriffe auf die VMware ESXi-Server lagen dabei auf Frankreich, den USA, Deutschland und Kanada – auch weitere Länder sind betroffen. Die Täter machten sich eine länger bekannte Schwachstelle im OpenSLP Service der Anwendung zu Nutze, bei der ein “Heap Overflow” angestoßen und dadurch letztendlich Code aus der Ferne ausgeführt werden kann. Inzwischen gibt es ein Tool um die die mit ESXiArgs-Ransomware verschlüsselten Server je nach Konstellation von VMware-Version und Patches wiederherzustellen: das ESXiArgs-Recover-Tool.

2 Jahre alte 8.8 Hoch-Sicherheitslücke

Die Sicherheitslücke selbst – die als CVE-2021-21974 geführt und nach CVSS mit einem Schweregrad von 8.8 als “hoch” bewertet wird – gibt es bereits seit Februar 2021 einen Patch des Herstellers. Auf das BSI hatte bereits damals auf die kritische Schwachstelle hingewiesen. Laut BSI sind konkrete Aussagen zur Betroffenheit und zum Ausmaß möglicher Schäden noch nicht möglich. Das BSI analysiert diesen IT-Sicherheitsvorfall intensiv und steht im Austausch mit seinen internationalen Partnern.

Bereits am Wochenende wurden besonders italienische Unternehmen stark von der Attacke getroffen. Laut diverser Medien soll auch die Telekom Italia TIM von der Attacke betroffen sein. Teilweise wäre die Internetleistung im ganzen Land für kurze Zeit eingebrochen. Aber auch andere Länder und viele Unternehmen haben weiterhin Probleme. Bereits 2021 gab es Exploits die nach der Lücke in ESXi-Server suchten und Schad-Software ausführten.

Bereits über 1.900 infizierte ESXi-Server

Für viele Administratoren kommt das Update zu spät, den ihre VMware-ESXi-Server sind bereits von einer Ransomware verschlüsselt. Unternehmen, die diese Lücke immer noch haben und noch nicht entdeckt wurden, sollte sofort die Server patchen. Laut Check Point sind bereits mehr als 1.900 ESXi-Server infiziert sein, wobei die meisten Opfer von OVH und Hetzner Service Providern stammen sollen. Auch CERT, die französische Cybersecurity-Behörde, hat bereits eine Warnung an alle Unternehmen und Serverbetreiber herausgegeben. Die Sicherheitsanweisung zum patchen der Schwachstelle und die Beschreibung der anfälligen Systeme steht bei VMware bereit

Mehr zum Server-Update bei VMware.com

 

Passende Artikel zum Thema

Bösartiges Site Hopping

In letzter Zeit wird vermehrt eine neue Technik zur Umgehung von Sicherheitsscannern eingesetzt, nämlich das „Site Hopping“. Diese Technik ist ➡ Weiterlesen

Finanzsektor zahlt bei Ransomware-Attacken Rekordsummen

Stetig wächst die Zahl der jährlichen Ransomware-Attacken auf Unternehmen des Finanzsektors: waren es in 2021 noch 34 Prozent, stieg die ➡ Weiterlesen

Neue Ransomware-Gruppe Money Message entdeckt

Bereits im April dieses Jahres wurde eine neue Ransomware-Gruppe namens „Money Message“ aktiv. Während die Cyberkriminellen bislang unter dem Radar ➡ Weiterlesen

Wardriving mit künstlicher Intelligenz

Mittlerweile werden KI-Tools millionenfach eingesetzt, um Themen zu recherchieren, Briefe zu schreiben und Bilder zu erstellen. Doch auch im Bereich ➡ Weiterlesen

Analyse: So läuft ein Angriff der Akira Ransomware-Gruppe ab

Die Südwestfalen-IT wurde von der Hackergruppe „Akira“ angegriffen, was dazu führt, dass zahlreiche Kommunalverwaltungen seit Wochen nur eingeschränkt arbeiten können. ➡ Weiterlesen

LockBit veröffentlich 43 GByte gestohlene Boeing-Daten

Bereits im Oktober vermeldete die APT-Gruppe LockBit, dass man bei Boeing in die Systeme eingedrungen sei und viele Daten gestohlen ➡ Weiterlesen

Veeam ONE: Hotfix für kritische Schwachstellen steht bereit 

Veeam informiert seine Nutzer über zwei kritische und zwei mittlere Schwachstellen in Veeam One für die bereits Patches bereitstehen. Die ➡ Weiterlesen

Cyberattacke auf Deutsche Energie-Agentur – dena

Die Deutsche Energie-Agentur vermeldet nach eigenen Angaben eine Cyberattacke am Wochenende vom 11. auf den 12. November. Die Server sind ➡ Weiterlesen