06.02.2023 14:30

Massive VMware ESXi Verschlüsselungs-Welle

Ab Freitag, den 03.02.23, nachmittags kam es über das Wochenende (Samstag 04.02.23 und Sonntag 05.02.23) weltweit zu Verschlüsselungen (Ransomware) von VMware ESXi Servern [1]. Laut Daten von Censys, welches Internet-weite Scans durchführt, sind mindestens 3276 Systeme davon betroffen. In Österreich sind davon 8 Systeme gefunden worden. Da ESXi-Server eine Vielzahl an Systemen als virtuelle Maschinen (VM) bereitstellen, ist mit einem Vielfachen dieser Zahl an betroffenen Einzelsystemen zu rechnen.
Welcher Angriffsvektor konkret benutzt wurde um die Systeme zu kompromittieren ist aktuell noch nicht abschließend geklärt. Als Kandidaten gelten die Schwachstellen CVE-2019-5544, CVE-2020-3992 und CVE-2021-21974.
Eine von Juniper [2] im Oktober 2022 entdeckte Hintertür (Backdoor), scheint in dieser Angriffswelle eine zentrale Rolle gespielt zu haben.
Sollte eine Verschlüsselung stattgefunden haben, gibt es abhängig einiger Parameter potentielle Möglichkeiten zur Wiederherstellung der Systeme [3].

Aktuell sollten VMware ESXi-Server auf die im Blog von Juniper [2] referenzierten Indicators of Compromise (IOCs) überprüft werden.
Derartige Systeme sollten niemals direkt mit dem Internet verbunden sein. Ist eine externe Erreichbarkeit unabdingbar, sollte auf sichere Verbindungen (z.B. VPN) geachtet werden.
Generell sollte darauf geachtet werden Updates nach erfolgreichen Tests zügig einzuspielen.

Oben Genanntes sei soweit eine kurze Zusammenfassung. Eine umfängliche Analyse der genauen Details wird, wie bei solchen Fällen üblich, erst nach weiterem Eintreffen von Erkenntnissen möglich sein.

[1] https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/
[2] https://blogs.juniper.net/en-us/threat-research/a-custom-python-backdoor-for-vmware-esxi-servers
[3] https://github.com/CERT-hr/ESXI-Ransomware-Removal-FlowChart