Weltweit werden ungepatchte VMware ESXi-Server zur leichten Beute einer neuen Variante von Ransomware. Wir zeigen, wie sich die Malware in einigen Fällen austricksen lässt.
Zahlreiche wahrscheinlich ungepatchte VMware ESXi Server wurden in den letzten Stunden von einer neuen Ransomware verschlüsselt. Die Angriffe begannen laut Twitter-Berichten bereits am Freitagmorgen und halten an. Das Kuriose an diesen Ransomware-Angriffen ist jedoch nicht, dass dabei wieder einmal eine längst geschlossene Sicherheitslücke ausgenutzt wird.
Interessant ist, dass die Bitcoin-Wallet in jeder der zahlreichen Lösegeldforderungen eine andere ist. Es scheint auch keine Website für die Erpresser-Gruppe zu geben, nur eine mysteriöse „TOX id“.
Auch zahlreiche VMware ESXi Server in Deutschland im Visier der Cybererpresser
Der Angriff zielt in erster Linie auf ESXi Server (Typ-1-Hypervisor des Virtualisierungsanbieters VMware) vor Version 7.0 U3i. Zugang erlangen die Angreifer offenbar über den OpenSLP-Port (427).
Mindestens 120 VMware ESXi Server weltweit wurden bereits durch diese Ransomware-Kampagne kompromittiert. Davon etwa 86 in Frankreich und 44 in Deutschland.
neoSolutions kommt zu dem Schluss:
Die Angriffe waren schnell und weit verbreitet, und Administratoren auf der ganzen Welt werden bald berichten, dass sie durch diese neuen Ransomware-Kampagne verschlüsselt wurden.
neoSolutions
Wer für die noch andauernden Ransomware-Attacken auf die ESXi Server verantwortlich ist, ist derzeit nicht geklärt. Sicher ist, dass es sich um einen neuen Stamm von Ransomware handelt.
Michael Gillespie von Malewarehunter (ID Ransomware) beobachtet das Geschehen und die auf den Namen „ESXiArgs“ getaufte Malware genau. Gegenüber BleepingComputer gibt er allerdings zu bedenken und erklärt:
Solange wir keine Probe finden, gibt es keine Möglichkeit festzustellen, ob die Verschlüsselung Schwachstellen aufweist.
Michael Gillespie
Ein möglicher Fix für alle verzweifelten Server-Admins
Solltet ihr auch zu den Server-Admins gehören, die sich nach einem wohlverdienten Wochenende mit Ransomware und einem verschlüsselten VMware ESXi Server herumschlagen müssen – Kopf hoch, denn mit ein bisschen Glück es gibt eine Lösung für euch.
Offenbar haben die Cyberkriminellen indes in sehr vielen Fällen „nur“ die Konfigurationsdateien der Servervirtualisierungssoftware von VMware verschlüsselt. Ein Sicherheitsforscher ist auf diese Tatsache aufmerksam geworden und hat über Twitter einen „Workaround“ veröffentlicht.
Hier der von Habib Karataş auf Twitter gepostete Workaround (Ohne Gewähr auf Richtigkeit):
1– Löschen Sie die verschlüsselten Konfigurationsdateien.
2– Erstellen Sie eine leere virtuelle Maschine.
3– Öffnen Sie die Konfigurationsdatei auf der neuen Maschine und legen Sie sie in das Verzeichnis Ihrer verschlüsselten Maschinen.
4 – Ersetzen Sie die Informationen in der Konfigurationsdatei durch die verschlüsselten Rechnernamen.
5– Gehen Sie zum Vmware-Bildschirm und „VM registrieren“ und das war es auch schon.
Es soll aber auch Angriffe geben, bei denen die vmdk-Festplatten komplett mit ESXiArgs verschlüsselt werden. Habib Karataş verspricht, für diesen Fall bald eine Lösung parat zu haben.
Der oben beschriebene Workaround ist dabei sicherlich ein Silberstreif am Horizont für viele betroffene Serveradministratoren. Dennoch sollte jeder, der einen VMware ESXi Server betreibt, die Sicherheitslücke umgehend patchen. Am besten noch heute!