Ostrzeżenie przed zmasowanym atakiem ransomware wycelowanym w serwery z hiperwizorami ESxi

CERT-FR (zespół reagowania CERT na incydenty komputerowe funkcjonujący we Francji) jako pierwszy zauważył i rozesłał ostrzeżenia o groźnym ataku. Chodzi o globalną kampanię hakerską ransomware, której ofiarami padły już tysiące serwerów wykorzystujących hiperwizory VMware ESxi.

Grafika: VMware

Inne krajowe agencje bezpieczeństwa cybernetycznego funkcjonujące w USA, Francji i Singapurze wydały również ostrzeżenia przestrzegające przed takimi atakami, których ofiarami padają serwery pracujące w różnych krajach, w tym we Francji, Niemczech, Finlandii, Stanach Zjednoczonych i Kanadzie. Jak donoszą firmy zajmujące cyberbezpieczeństwem, do tej pory na całym świecie zaatakowano grubo ponad 3 tysiące serwerów.

CERT-FR i inne agencje informują, że ataki wykorzystuje lukę CVE-2021-21974, dla której poprawka jest dostępna od 23 lutego 2021 r. Luka znajduje się w oprogramowaniu zarządzającym usługą Service Location Protocol (SLP) i pozwala atakującym zagnieżdżać zdalnie malware. Atakowane są systemy bazujące na hiperwizorach ESXi w wersjach wcześniejszych niż 6.7.

Zobacz również:

  • Bezpieczeństwo kodów QR w praktyce
  • Co trzecia firma w Polsce z cyberincydentem
  • IDC: Wzrost popularności sieci SD-WAN wynika z wymagań dotyczących łączności w chmurze i atrakcyjności SASE

Dlatego CERT-FR zaleca, aby wszystkie takie systemy wyłączyć do czasu ich uaktualnienia. Hakerzy po przeprowadzeniu ataku wysyłają do administratorów serwerów żądanie okupu o następującej treści: Security alert! We hacked your company successfully ... Send money within 3 days, otherwise we will expose some data and raise the price (Alarm bezpieczeństwa! Pomyślnie zhakowaliśmy Twoją firmę… Wyślij pieniądze w ciągu 3 dni, w przeciwnym razie ujawnimy niektóre dane i podniesiemy cenę okupu. Specjaliści zalecają też, aby nawet po zaktualizowaniu systemu skonfigurować usługę #OpenSLP tak, aby miała dostęp wyłącznie do zaufanych adresów IP. Informują iż atakujący szyfrują tylko pliki konfiguracyjne, a nie dyski vmdk, na których przechowywane są dane.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200