Europa: Tausende VMware-ESXi-Server mit Ransomware attackiert

B2B Cyber Security ShortNews

Beitrag teilen

Laut dem BSI – Bundesamt für Sicherheit in der Informationstechnik wurden bei einem weltweit breit gestreuten Angriff tausende Server, auf denen VMwares Virtualisierungslösung ESXi zum Einsatz kommt, mit Ransomware infiziert und viele auch verschlüsselt.

Die regionalen Schwerpunkte der Angriffe auf die VMware ESXi-Server lagen dabei auf Frankreich, den USA, Deutschland und Kanada – auch weitere Länder sind betroffen. Die Täter machten sich eine länger bekannte Schwachstelle im OpenSLP Service der Anwendung zu Nutze, bei der ein “Heap Overflow” angestoßen und dadurch letztendlich Code aus der Ferne ausgeführt werden kann. Inzwischen gibt es ein Tool um die die mit ESXiArgs-Ransomware verschlüsselten Server je nach Konstellation von VMware-Version und Patches wiederherzustellen: das ESXiArgs-Recover-Tool.

2 Jahre alte 8.8 Hoch-Sicherheitslücke

Die Sicherheitslücke selbst – die als CVE-2021-21974 geführt und nach CVSS mit einem Schweregrad von 8.8 als “hoch” bewertet wird – gibt es bereits seit Februar 2021 einen Patch des Herstellers. Auf das BSI hatte bereits damals auf die kritische Schwachstelle hingewiesen. Laut BSI sind konkrete Aussagen zur Betroffenheit und zum Ausmaß möglicher Schäden noch nicht möglich. Das BSI analysiert diesen IT-Sicherheitsvorfall intensiv und steht im Austausch mit seinen internationalen Partnern.

Bereits am Wochenende wurden besonders italienische Unternehmen stark von der Attacke getroffen. Laut diverser Medien soll auch die Telekom Italia TIM von der Attacke betroffen sein. Teilweise wäre die Internetleistung im ganzen Land für kurze Zeit eingebrochen. Aber auch andere Länder und viele Unternehmen haben weiterhin Probleme. Bereits 2021 gab es Exploits die nach der Lücke in ESXi-Server suchten und Schad-Software ausführten.

Bereits über 1.900 infizierte ESXi-Server

Für viele Administratoren kommt das Update zu spät, den ihre VMware-ESXi-Server sind bereits von einer Ransomware verschlüsselt. Unternehmen, die diese Lücke immer noch haben und noch nicht entdeckt wurden, sollte sofort die Server patchen. Laut Check Point sind bereits mehr als 1.900 ESXi-Server infiziert sein, wobei die meisten Opfer von OVH und Hetzner Service Providern stammen sollen. Auch CERT, die französische Cybersecurity-Behörde, hat bereits eine Warnung an alle Unternehmen und Serverbetreiber herausgegeben. Die Sicherheitsanweisung zum patchen der Schwachstelle und die Beschreibung der anfälligen Systeme steht bei VMware bereit

Mehr zum Server-Update bei VMware.com

 

Passende Artikel zum Thema

90-Tage-TLS-Readiness für Zertifikate

Der Erfinder des Maschinenidentitätsmanagements hat seine neue 90-Day TLS Readiness Lösung für Zertifikate vorgestellt. Sie hilft Unternehmen dabei, den von ➡ Weiterlesen

Unternehmen: Täglich mehr als 2 kritische Cyberbedrohungen

Cyberbedrohungen sind für Unternehmen alltäglich. Vor allem staatliche Organisationen sind stark betroffen, so der aktuelle Kaspersky-Report. Ein Viertel der Vorfälle ➡ Weiterlesen

Spearphishing aus Nordkorea

Die US-Regierung warnt vor Bedrohungsakteuren aus Nordkorea. Demzufolge nutzen diese schwache E-Mail-DMARC-Einstellungen (Domain-based Message Authentication Reporting and Conformance), um gefälschte ➡ Weiterlesen

SAP-Anwendungen: Angreifer nutzen Sicherheitslücken aus

Die neue Studie von Onapsis und Flashpoint fand heraus, dass Cyberkriminelle und staatlich gesponserte Spionagegruppen geschäftskritische SAP-Anwendungen ins Visier nehmen ➡ Weiterlesen

Daten verschlüsseln beugt Spionage und Diebstahl vor

Obwohl überall auf der Welt Medien ständig über Cyber-Spionage berichten, sind immer noch jede Menge Daten im Internet und in ➡ Weiterlesen

MadMxShell: Neue Backdoor Bedrohung

Die Backdoor MadMxShell versucht über gefälschte IP Scanner und IP Management Software-Domänen Zugriff auf IT-Umgebungen zu erlangen. Verbreitet werden die ➡ Weiterlesen

DKIM-Signaturen schützen E-Mails und erhöhen die Zustellbarkeit

Das Intra2net Security Gateway unterstützt jetzt DKIM-(DomainKeys Identified Mail)-Signaturen. Damit schützen sich Unternehmen vor Phishing- und Spoofing-Angriffen und erhöhen die ➡ Weiterlesen

Cloudsicherheit: Bedrohungen in Echtzeit abwehren

Neue Erweiterungen der KI-basierten Security Operations Center(SOC)-Plattform Cortex XSIAM von Palo Alto Networks integrieren spezifische Sicherheitstechnologien und verbessern so die ➡ Weiterlesen