Хиляди сървъри на VMware са обект на най-голямата по рода си атака досега

Хиляди сървъри на VMware по цял свят са подложени на мащабна хакерска атака с рансъмуер (криптиращ вирус, целящ получаване на откуп). Лидерът в предоставяне на решения за киберсигурност CheckPoint описа нападението като най-голямото от този тип, което не е свързано с Windows.

Според информацията престъпниците са използвали двегодишна уязвимост на доставчика на облачни услуги, която много клиенти на VMware по света, изглежда, не са „закърпили“ своевременно.

Френският екип за реагиране при компютърни инциденти CERT-FR и италианският Национален орган за киберсигурност (ACN) официално предупредиха организациите по целия свят за въпросната атака, насочена към хиляди сървъри VMware ESXI. Експертите обясняват, че хакерите използват известна уязвимост, срещу която са насочили рансъмеур на име „ESXiArgs“. Потърпевши могат да са всички, които ползват непоправени (CVE-2021-21974) ESXi машини, изложени на интернет с порт 427.

Анализите показват, че досега повече от 3200 сървъра на VMware по света са били компрометирани от кампанията ESXiArgs. Най-засегнатата страна е Франция, следвана от САЩ, Германия, Канада и Обединеното кралство.

Тъй като тези сървъри предоставят услуги на хиляди други сървъри, които те съхраняват, въздействието изглежда е широко разпространено в световен мащаб“, отбелязват от CheckPoint.

Не е ясно кой стои зад кампанията с рансъмуер.

Копие от предполагаемата бележка с искане за откуп, споделено от доставчика на информация за заплахите DarkFeed, показва, че хакерите, стоящи зад атаката, са възприели техниката на „тройно изнудване“, при която нападателите заплашват да уведомят клиентите на жертвите за нарушението на сигурността на данните.

Неизвестните нападатели искат 2.06 биткойна, като във всяка бележка е показан различен адрес на криптопортфейл.

В изявление, дадено на TechCrunch, говорителката на VMware заяви, че компанията е запозната с докладите за рансъмуера ESXiArgs, който „изглежда използва уязвимостта, идентифицирана като CVE-2021-21974“. По думите му кръпките за идентифицирания отдавна бъг „са били предоставени на клиентите преди две години в консултацията по сигурността на VMware от 23 февруари 2021 г.“.

Хигиената на сигурността е ключов компонент за предотвратяване на рансъмуер атаки и организациите, които използват версии на ESXi, засегнати от CVE-2021-21974, и все още не са приложили кръпката, трябва да предприемат действия според указанията“, добави говорителят.

Най-голямата досега

„Тази масирана атака срещу сървъри ESXi се счита за една от най-мащабните кибератаки с рансъмеур, за които някога е съобщавано, че са извършени на машини, различни от Windows“, пише компанията за киберсигурност CheckPoint.

Това, което прави ситуацията още по-тревожна, посочват експертите, е фактът, че доскоро атаките с рансъмуер бяха по-скоро насочени към машини с Windows. Според CheckPoint хакерите са осъзнали колко важни са Linux сървърите за системите на институциите и организациите и това със сигурност ги е подтикнало да инвестират в разработването на такова мощно кибернетично оръжие и да направят рансъуер толкова сложен.

Според настоящия ни анализ рискът от тази атака с рансъмуер не се ограничава само до конкретните доставчици на услуги, към които е насочена. Киберпрестъпниците са използвали CVE-2021-21974 - експлоит, за който вече беше съобщено през февруари 2021 г. Но това, което може да направи въздействието още по-опустошително, е използването на тези сървъри, върху които обикновено работят други виртуални сървъри. По този начин щетите вероятно са по-широко разпространени.“

Еволюция на рансъмуера

В началото атаките с рансъмуер се извършваха от отделни субекти, които разработваха и разпространяваха огромен брой автоматични инструменти до случайно избрани жертви, като събираха малки суми от всяка „успешна“ атака. Към 2023 г. тези атаки вече са еволюирали и са се превърнали в процеси, управлявани предимно от хора и извършвани от множество субекти в продължение на няколко седмици.

Нападателите внимателно подбират жертвите си според желания профил и прилагат серия от мерки за натиск, за да изтръгнат значителни суми пари. Заплахите за разкриване на чувствителни данни се оказаха много ефективни“, казват от CheckPoint.

По данни на компанията за киберсигурност в световен мащаб поне 1 от всеки 13 организации е претърпяла опит за рансъмуер атака през изминалата година.