全球对VMware EXSi Hypervisors的勒索软件攻击继续蔓延

这种名为“ESXiArgs”的新型恶意软件正在利用一个存在了两年的远程代码执行安全漏洞(编号为CVE-2021-21974),使得成千上万台没有更新补丁的服务器遭到了攻击。

一场针对VMware ESXi hypervisors的全球性勒索软件攻击正在蔓延,多个政府机构和研究人员都发出了警告,这次攻击已经感染了数千个目标。

这次攻击最初于2月3日晚间被法国计算机应急响应小组(CERT-FR)发现,根据Censys的统计,目前已经有超过3200台服务器在加拿大、法国、芬兰、德国和美国遭到了攻击。

攻击者利用了一个存在了两年的远程代码执行(RCE)安全漏洞(CVE-2021-21974),该漏洞影响了hypervisor的开放服务位置协议(OpenSLP)服务。

根据法国托管服务提供商OVHcloud在2月5日发布的一份通知,这次攻击的目的似乎是安装一种叫做“ESXiArgs”的新型勒索软件——但是背后的团伙还不确定,该公司有一些客户受到了攻击。

“我们[之前]认为这次攻击和内华达勒索软件有关,这是一个错误,”通知中说。“没有任何证据可以把这次攻击归咎于任何团伙。归因从来都不简单,我们让安全研究人员自己做出判断。”

这次攻击的操作者要求在感染后三天内支付大约2比特币(截至发稿时约为23000美元);如果受害者不支付,赎金将上涨,而且团伙会公开敏感数据,他们警告说,根据一个名为DarkFeed的暗网监测者发布的赎金信的副本。不过,网络安全公司Rapid7在一份分析中指出,目前还没有发现真正的数据泄露。

相反,加密过程似乎是主要目标,它主要针对虚拟机文件(.vmdk、.vmx、.vmxf、.vmsd、.vmsn、.vswp、.vmss、.nvram和*.vmem),根据该公司的评估。“有时候,文件的加密可能会部分失败,让受害者能够恢复数据。”

此外,“恶意软件试图通过杀死VMX进程来关闭虚拟机,以解锁文件”,Rapid7解释说;VMX或虚拟机可执行文件是一个在VMkernel中运行的进程,它处理I/O命令。“这个功能并不总是有效,导致文件仍然被锁定”,警告补充说。

为了避免被卷入网络攻击,管理员应该立即打补丁,或者作为一种备选方案,“可以在任何未更新的ESXi服务器上禁用SLP服务,以进一步降低被入侵的风险”,根据CERT-FR警告。

此外,“用户和管理员还建议评估是否可以在不影响操作的情况下禁用被勒索软件活动针对的端口427”,新加坡的SingCERT在周末发布的一份通知中建议。

VMware仍然是网络犯罪分子的热门目标;就在上周,针对虚拟化专家产品组合中潜伏着的其他RCE漏洞的利用代码就出现了。

推荐阅读:

Wallarm旨在减少API被攻破造成的危害

匿名服务器:如何保护你的网络隐私

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20