VMware: BSI bestätigt Ransomware Angriffe in Deutschland
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf einen weltweiten Ransomware-Angriff auf tausende ESXi-Server reagiert, der hauptsächlich in Frankreich, den USA, Deutschland und Kanada stattgefunden hat. Das BSI schätzt, dass es in Deutschland mehrere hundert betroffene Systeme gibt. Die Täter nutzten eine bekannte Schwachstelle im OpenSLP Service aus, für die bereits im Februar 2021 ein Patch veröffentlicht wurde. Das BSI hat einen Fragenkatalog für IT-Verantwortliche herausgegeben, der unter anderem die betroffenen VMware-Versionen und die Installation der Patches abfragt.
Die Cyberkriminellen hinter der ESXiArgs-Angriffswelle haben ihr bösartiges Skript angepasst und verschlüsseln nun die Dateien von virtuellen Maschinen auf infiltrierten VMware-Systemen wesentlich umfangreicher. Das Skript encrypt.sh des Malware-Pakets verschlüsselt jetzt nicht mehr nur kleine Bruchstücke, sondern sucht nach verschiedenen Dateien von virtuellen Maschinen und verschlüsselt Dateien kleiner als 128 MByte vollständig in 1-MByte-Schritten. Bei größeren Dateien wird der zu überspringende Teil in der Variable size_step des Skripts berechnet.
Das von der CISA bereitgestellte Wiederherstellungsskript zur Reparatur der virtuellen Maschinen auf von der ESXiArgs-Angriffswelle betroffenen VMware-ESXi-Servern funktioniert nicht mehr, da die gefundenen Dateien nun gründlicher verschlüsselt sind. Es gibt auch keine Bitcoin-Adressen mehr in den Erpresser-Nachrichten, was vermuten lässt, dass die Angreifer möglicherweise Maßnahmen gegen die Nachverfolgung von Lösegeldzahlungen ergreifen. Es ist unklar, ob die Angreifer auf weitere Schwachstellen in VMware abzielen.
Falls Sie noch weitere Fragen haben, können Sie sich gerne bei einem unserer Techniker melden.