Bei der Ransomware-Welle, die nach Aussagen des BSI tausende Server weltweit und davon eine mittlere dreistellige Anzahl deutscher Unternehmen betrifft, zielen die Angreifer auf Server-Farmen – sogenannte ESXi-Server – und damit das Herzstück einer jeden IT-Landschaft. Es wurden ganz gezielt veraltete und ungepatchte VMware-ESXi-Server angegriffen die noch mit der Sicherheitslücke von Februar 2021 arbeiten.
Laut dem BSI – Bundesamt für Sicherheit in der Informationstechnik wurden bei einem weltweit breit gestreuten Angriff tausende Server, auf denen VMwares Virtualisierungslösung ESXi zum Einsatz kommt, mit Ransomware infiziert und viele auch verschlüsselt. Die regionalen Schwerpunkte der Angriffe auf die VMware ESXi-Server lagen dabei auf Frankreich, den USA, Deutschland und Kanada – auch weitere Länder sind betroffen. Die Täter machten sich eine länger bekannte Schwachstelle zu Nutze. Die Sicherheitslücke selbst – die als CVE-2021-21974 geführt und nach CVSS mit einem Schweregrad von 8.8 als „hoch“ bewertet wird – gibt es bereits seit Februar 2021 einen Patch des Herstellers.
Das sagt Trend Micro zur ESXi-Server-Attacke
🔎 Trend Micro: Richard Werner, Business Consultant (Bild: Trend Micro).
“Wir sehen immer wieder, dass Unternehmen auf derartige Third-Party-Probleme nicht vorbereitet sind. Zwar gibt es einen geregelten Patch-Prozess für Microsoft, nicht aber für Dritthersteller, wie in diesem Fall VMware. Denn die Anzahl der Patches rechtfertigt es nicht, einen eigenen Prozess dafür ins Leben zu rufen. Darüber hinaus stellen Unternehmen ihre Server-Farm nicht einfach ab, um einen einzelnen Patch zu installieren. Angreifer wissen um diese Schwierigkeit ihrer Opfer und nutzen deshalb häufig Schwachstellen aus, die nicht auf Microsoft-Technologie beruhen.
ESXi-Schwachstelle bereits im Oktober 2020 an VMware gemeldet
Tatsächlich sind nur ca. 30 Prozent der von Angreifern verwendeten Lücken auf Software des Technologieriesen angewiesen. Die Existenz ungepatchter Software-Schwachstellen, die von Hackern aktiv ausgenutzt werden, ist dabei keine Seltenheit. Etwa 86 Prozent aller Unternehmen weltweit haben, laut Untersuchungen von Trend Micro, solche Lücken. Trend Micros Zero Day Initiative hat die Schwachstelle, die als CVE-2021-21974 geführt und nach CVSS mit einem Schweregrad von 8.8 als “hoch” bewertet wird, bereits im Oktober 2020 an VMware gemeldet, um dann im Februar 2021 gemeinsam ein Verantwortungsvolle Offenlegung der Schwachstelle (responsible Disclosure) durchzuführen” so Richard Werner, Business Consultant bei Trend Micro.
Das sagt Check Point zur ESXi-Server-Attacke
„Die Ausfälle, die in den letzten Tagen aufgetreten sind, können genau auf diesen Ransomware-Angriff zurückgeführt werden, der nicht nur in europäischen Ländern wie Frankreich und Italien, sondern weltweit eine wachsende Bedrohung darstellt. Bereits im Juli letzten Jahres meldete die ThreatCloud von Check Point Research einen Anstieg von Ransomware um 59 Prozent im Vergleich zum Vorjahr und weltweit. In Anbetracht dieses Anstiegs und des gestern gemeldeten Angriffs ist es angebracht, erneut darauf hinzuweisen, dass die Vorbeugung von Cyber-Bedrohungen oberste Priorität für Unternehmen und Organisationen haben muss.
Auch Nicht-Windows-Maschinen nun in Gefahr
Diese massive Attacke auf ESXi-Server gilt zudem als einer der umfangreichsten Cyberangriffe, die jemals auf Nicht-Windows-Maschinen gemeldet wurden. Was die Situation noch besorgniserregender macht, ist die Tatsache, dass Ransomware-Angriffe bis vor kurzem auf Windows-basierte Rechner beschränkt waren. Die Angreifer haben erkannt, wie wichtig Linux-Server für die Systeme von Institutionen und Organisationen sind” so Lothar Geuenich, VP Central Europe / DACH bei Check Point Software Technologies.
Das sagt Barracuda zur ESXi-Server-Attacke
🔎 Barracuda Networks: Stefan van der Wal, Consulting Solutions Engineer, EMEA, Application Security (Bild: Barracuda Networks).
„Die gemeldeten, weit verbreiteten Ransomware-Angriffe auf ungepatchte VMware ESXi-Systeme in Europa und anderswo haben offenbar eine Schwachstelle ausgenutzt, für die 2021 ein Patch zur Verfügung gestellt wurde. Dies zeigt, wie wichtig es ist, kritische Software-Infrastruktursysteme absolut zeitnah zu aktualisieren. Für Unternehmen ist es nicht immer einfach, Software zu aktualisieren. Im Falle dieses Patches beispielsweise müssen Unternehmen vorübergehend wesentliche Teile ihrer IT-Infrastruktur deaktivieren. Aber es ist weitaus besser, dies in Kauf zu nehmen, als von einem potenziell schädlichen Angriff getroffen zu werden.
Unternehmen, die ESXi einsetzen, sollten sofort auf die neueste Version aktualisieren
Die Sicherung der virtuellen Infrastruktur ist von entscheidender Bedeutung. Virtuelle Maschinen können ein attraktives Ziel für Ransomware sein, da auf ihnen oft geschäftssensible Dienste oder Funktionen laufen – und ein erfolgreicher Angriff könnte weitreichende Unterbrechungen verursachen. Es ist besonders wichtig sicherzustellen, dass der Zugriff auf die Verwaltungskonsole eines virtuellen Systems geschützt ist und beispielsweise nicht einfach über ein kompromittiertes Konto im Unternehmensnetzwerk erfolgen kann” so Stefan van der Wal, Consulting Solutions Engineer, EMEA, Application Security bei Barracuda Networks.
Das sagt Artic Wolf zur ESXi-Server-Attacke
Trotz Berichten, dass erfolgreiche Ransomware-Angriffe rückläufig sind, zeigt der globale Angriff auf Server in ganz Europa und Nordamerika, dass Ransomware noch immer eine reale Bedrohung für Unternehmen und Organisationen weltweit darstellt. Durch die Ausnutzung einer Schwachstelle in VMWare konnten Kriminelle einen großen Zulieferer attackieren, der mehrere Branchen und sogar Länder beliefert. Es ist also davon auszugehen, dass der Angriff noch für einige Zeit weitreichende Störungen für Tausende von Menschen verursachen wird.
Unternehmen sollten aktuelle Sicherheitslage ständig zu überprüfen
“In der ersten Hälfte des Jahres 2022 wurde mehr als die Hälfte aller Sicherheitsvorfälle durch die Ausnutzung externer Schwachstellen verursacht. Ein Trend der zu beobachten ist: Bedrohungsakteure zielen zunehmend auf Organisationen aller Größenordnungen ab – insbesondere über bekannte Schwachstellen. Daher ist es für Unternehmen so wichtig wie nie, die Grundlagen ihrer Cybersicherheit richtig zu gestalten, z. B. durch konsequentes und regelmäßiges Patching.
Das bedeutet, mit Experten zusammenzuarbeiten, um die richtige Technologie zu identifizieren, Mitarbeitende in der richtigen Anwendung zu schulen und die aktuelle Sicherheitslage ständig zu überprüfen. So können sie sicherstellen, dass sie in der bestmöglichen Position sind, um auf neue Bedrohungen zu reagieren und sich optimal zu schützen. Für das Szenario, dass bestimmte Systeme ausfallen, sind zudem Notfallpläne von entscheidender Bedeutung, damit Unternehmen ihren Betrieb weiterhin aufrechterhalten können”, so Dan Schiappa, Chief Product Officer bei Arctic Wolf.
Das sagt Tehtris zur ESXi-Server-Attacke
TEHTRIS hat eine Analyse zu der am Wochenende bekannt gewordenen ESXiArgs-Ransomware-Attacke veröffentlicht. Dabei kommen die Security-Experten zu dem Schluss, dass den Angriffen bereits etliche Aktivitäten vorangingen, bevor die eigentliche Attacke erfolgte. Für ihre Untersuchung analysierten die Sicherheitsforscher insbesondere Aktivitäten rund um den Port 427, der bei den aktuellen Attacken von großer Bedeutung ist.
ESXiArgs-Ransomware: Angriffe nicht erst seit dem Wochenende
🔎 Von Tehtris registrierte Aktivitäten rund um den Port 427 bei ESXi-Servern (Bild: Tehtris).
Die ESXiArgs-Cyberkampagne erhielt ihren Namen, da sie für jedes verschlüsselte Dokument eine .args-Datei erstellt. Dank seines weltweiten Netzwerks von Honeypots konnte Tehtris feststellen, dass der am Wochenende bekannt gewordene Angriff nicht erst vor wenigen Tagen begann. Die nachstehende Zeitleiste, die auf Daten von Tehtris seit dem 1. Januar 2023 basiert, zeigt, dass es bereits am 10. und 24. Januar zu einer Spitze von Angriffen auf Port 427 kam. Diese Aktivitäten stiegen dann Anfang Februar wieder an.
Einige der bösartigen IPs, die Tehtris in diesem Zusammenhang in seinem Honeypot-Netzwerk überwacht, haben vor dem 3. Februar versucht, unter dem Radar zu bleiben. Sie verhielten sich zwar sehr diskret, indem sie nur einen einzigen Aufruf tätigten, aber sie erreichten eine große Anzahl der Honeypots. Betrachtet man das weltweite Honeypot-Panel, so zeigt sich, dass die meisten über Port 427 eingehenden Angriffe auf den östlichen Teil der USA, den nordöstlichen Teil des asiatisch-pazifischen Raums und Westeuropa abzielen, und zwar praktisch auf dem gleichen Niveau. Weitere Untersuchungsergebnisse inklusive einer Analyse der IP-Adressen, von denen die Angriffe ausgehen, finden sich im neuesten Blog-Beitrag von Tehtris.