Inne krajowe agencje bezpieczeństwa cybernetycznego funkcjonujące w USA, Francji i Singapurze wydały również ostrzeżenia przestrzegające przed takimi atakami, których ofiarami padają serwery pracujące w różnych krajach, w tym we Francji, Niemczech, Finlandii, Stanach Zjednoczonych i Kanadzie. Jak donoszą firmy zajmujące cyberbezpieczeństwem, do tej pory na całym świecie zaatakowano grubo ponad 3 tysiące serwerów.

CERT-FR i inne agencje informują, że ataki wykorzystuje lukę CVE-2021-21974, dla której poprawka jest dostępna od 23 lutego 2021 r. Luka znajduje się w oprogramowaniu zarządzającym usługą Service Location Protocol (SLP) i pozwala atakującym zagnieżdżać zdalnie malware. Atakowane są systemy bazujące na hiperwizorach ESXi w wersjach wcześniejszych niż 6.7.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• Co trzecia firma w Polsce z cyberincydentem
• IDC: Wzrost popularności sieci SD-WAN wynika z wymagań dotyczących łączności w chmurze i atrakcyjności SASE

Dlatego CERT-FR zaleca, aby wszystkie takie systemy wyłączyć do czasu ich uaktualnienia. Hakerzy po przeprowadzeniu ataku wysyłają do administratorów serwerów żądanie okupu o następującej treści: Security alert! We hacked your company successfully ... Send money within 3 days, otherwise we will expose some data and raise the price (Alarm bezpieczeństwa! Pomyślnie zhakowaliśmy Twoją firmę… Wyślij pieniądze w ciągu 3 dni, w przeciwnym razie ujawnimy niektóre dane i podniesiemy cenę okupu. Specjaliści zalecają też, aby nawet po zaktualizowaniu systemu skonfigurować usługę #OpenSLP tak, aby miała dostęp wyłącznie do zaufanych adresów IP. Informują iż atakujący szyfrują tylko pliki konfiguracyjne, a nie dyski vmdk, na których przechowywane są dane.