Ransomware befällt 3.800 VMware ESXI-Server

Die Cybersecurity and Infrastructure Security Agency (CISA) und das FBI warnen vor einer laufenden ESXiArgs-Ransomware-Kampagne, die auf ungepatchte, veraltete oder nicht mehr funktionierende Versionen des VMware ESXi-Hypervisors für virtuelle Maschinen (VMs) abzielt. Nach Angaben der CISA wurden weltweit 3.800 VMware ESXi-Server kompromittiert, wodurch VMs, die auf ESXi-Server laufen, möglicherweise unbrauchbar werden. Die Ransomware ESXiArgs scheint seit dem 3. Februar auf Server in Europa abzuzielen, hat sich aber inzwischen auch auf Nordamerika ausgebreitet. Die Ransomware verschlüsselt Berichten zufolge .vmdk-, .vmx-, .vmxf-, .vmsd-, .vmsn-, .vswp-, .vmss-, .nvram- und .vmem-Dateien. Es kann VMs unbrauchbar machen, da es mit VMs verknüpfte Konfigurationsdateien verschlüsselt.

Workaround und Wiederherstellungsskript

VMware hatte diese Woche schon empfohlen, ESXi-Server auf die neueste Version von ESXi zu aktualisieren. Das Unternehmen wies auch darauf hin, dass die Angriffe  bekannte Fehler ausnutzen. VMware stellt einen Workaround zur Verfügung, den es im Dezember für die Deaktivierung des Service Location Protocol (SLP) auf VMware ESXi bereitgestellt hatte. Die im Jahr 2021 veröffentlichten Patches beheben den kritischen Fehler CVE-2021-21974, der die SLP-Komponente in ESXi betrifft.

Die CISA hat ein Wiederherstellungsskript auf seinem GitHub-Konto veröffentlicht und erklärt, das Skript rekonstruiere die VM-Metadaten von virtuellen Festplatten, die nicht von der Malware verschlüsselt wurden. Die CISA warnt jedoch davor, dass Unternehmen das Skript vor dem Einsatz für Eignung für die eigene Umgebung zu überprüfen. Die CISA übernehme keine Verantwortung für Rechner, die bei Wiederherstellungsversuchen beschädigt würden.

Keine Garantie für Skript

„Dieses Skript zielt nicht darauf ab, die verschlüsselten Konfigurationsdateien zu löschen, sondern versucht stattdessen, neue Konfigurationsdateien zu erstellen, die den Zugriff auf die VMs ermöglichen. Obwohl die CISA sich bemüht, sicherzustellen, dass Skripte wie dieses sicher und effektiv sind, wird dieses Skript ohne Garantie geliefert, weder implizit noch explizit. Verwenden Sie dieses Skript nicht, ohne zu wissen, wie es sich auf Ihr System auswirken kann. Die CISA übernimmt keine Haftung für Schäden, die durch dieses Skript verursacht werden“, schreibt die CISA.

Die CISA empfiehlt zudem, ESXi-Hypervisoren durch Deaktivieren des SLP-Dienstes zu härten und sicherzustellen, dass der ESXi-Hypervisor nicht dem öffentlichen Internet ausgesetzt ist. Auch das französische Computer Emergency Response Team (CERT) ruft dazu dazu auf, betroffene Server zu isolieren, eine unterstützte Version von ESXi 7.x oder ESXi 8.x neu zu installieren und alle Patches anzuwenden.