En uopprettet programvarefeil på VMWares ESXi-servere blir utnyttet av hackere med mål om å spre løsepengevare over hele verden.
Ikke-patchede VMWare-servere misbrukes av hackere
En to år gammel programvaresårbarhet på VMWares ESXi-servere har blitt målet for en utbredt hackingkampanje. Målet med angrepet er å distribuere ESXiArgs, en ny løsepengevarevariant. Hundrevis av organisasjoner anslås å ha blitt berørt.
Frankrikes Computer Emergency Response Team (CERT) la ut en uttalelse 3. februar, hvor arten av angrepene ble diskutert. I CERT-innlegg, ble det skrevet at kampanjene "ser ut til å ha utnyttet eksponeringen av ESXi hypervisorer som ikke har blitt oppdatert med sikkerhetsoppdateringer raskt nok." CERT bemerket også at feilen som ble målrettet "tillate en angriper å utføre en ekstern vilkårlig kodeutnyttelse."
Organisasjoner har blitt oppfordret til å lappe hypervisor-sårbarheten for å unngå å bli ofre for denne løsepengevareoperasjonen. Imidlertid minnet CERT leserne i den nevnte uttalelsen om at "å oppdatere et produkt eller programvare er en delikat operasjon som må utføres med forsiktighet," og at "det anbefales å utføre tester så mye som mulig."
VMWare har også snakket om situasjonen
Sammen med CERT og forskjellige andre enheter har VMWare også gitt ut et innlegg om dette globale angrepet. I en VMWare-rådgivning, ble det skrevet at serversårbarheten (kjent som CVE-2021-21974) kunne gi ondsinnede aktører muligheten til å "utløse heap-overflow-problemet i OpenSLP-tjenesten som resulterer i ekstern kode henrettelse."
VMWare bemerket også at de ga ut en oppdatering for denne sårbarheten i februar 2021, som kan brukes til å kutte av de ondsinnede operatørenes angrepsvektor og derfor unngå å bli målrettet.
Dette angrepet ser ikke ut til å være statlig
Selv om identiteten til angriperne i denne kampanjen ennå ikke er kjent, har det blitt sagt av Italias nasjonale cybersikkerhet Agency (ACN) at det foreløpig ikke er bevis som tyder på at angrepet ble utført av noen statlig enhet (som rapportert av Reuters). Ulike italienske organisasjoner ble berørt av dette angrepet, samt organisasjoner i Frankrike, USA, Tyskland og Canada.
Det er gitt forslag til hvem som kan stå for denne kampanjen, med programvare fra ulike løsepengevarefamilier som BlackCat, Agenda og Nokoyawa, blir vurdert. Tiden vil vise om operatørenes identitet kan avdekkes.
Ransomware-angrep fortsetter å utgjøre en stor risiko
Ettersom årene går, blir flere og flere organisasjoner ofre for løsepengevare-angrep. Denne modusen for nettkriminalitet har blitt utrolig populær blant ondsinnede aktører, med dette globale VMWare-hakket som viser hvor omfattende konsekvensene kan være.