Hacker nutzen eine bekannte Schwachstelle in den ESXi-Servern von VMware in großem Umfang aus und zielen auf Endpunkte ab (öffnet in neuem Tab) in ganz Europa und Nordamerika haben Regierungsbeamte und Unternehmenssprecher bestätigt.
Die italienische National Cybersecurity Agency (ACN) hat Unternehmen, die diese VMware-Produkte verwenden, gewarnt, ihre Geräte sofort zu aktualisieren und sich so vor der laufenden Cyberkriminalitätskampagne zu schützen.
ANSA (eine große italienische Nachrichtenagentur) sagte weiter, dass Hacker neben Servern in Italien auch Server in Frankreich, Finnland, den Vereinigten Staaten und Kanada ins Visier genommen hätten.
500 Opfer, Tendenz steigend
Berichten zufolge waren „Dutzende“ von Organisationen in Italien von der Kampagne betroffen. Die Agentur sagt, dass Unternehmen gewarnt wurden, Maßnahmen zu ergreifen, „um zu vermeiden, dass sie von ihren Systemen ausgeschlossen werden“, was darauf hindeutet, dass die Angreifer die Schwachstelle in Ransomware-Kampagnen nutzten.
Auf der anderen Seite des Atlantiks analysierten US-Cybersicherheitsbeamte die eingehenden Berichte:
„CISA arbeitet mit unseren Partnern aus dem öffentlichen und privaten Sektor zusammen, um die Auswirkungen dieser gemeldeten Vorfälle zu bewerten und bei Bedarf Hilfe zu leisten“, Reuters (öffnet in neuem Tab) zitiert die US Cybersecurity and Infrastructure Security Agency.
Ein VMware-Sprecher sagte, die Hacker hätten einen Fehler missbraucht, der Anfang 2021 entdeckt und im Februar dieses Jahres gepatcht wurde. Das Unternehmen forderte seine Kunden außerdem auf, den Patch sofort anzuwenden.
Ein separater Bericht, herausgegeben von Der Stapel (öffnet in neuem Tab) behauptet, dass bisher mehr als 500 Unternehmen von der Kampagne betroffen waren und es sich tatsächlich um einen Ransomware-Angriff handelte. Unternehmen in Frankreich sind angeblich am stärksten betroffen. Das CERT-FR, das Computer Security Incident Response Team der nationalen Regierung des Landes, sagt, dass der Angriff halbautomatisch ist und auf Server abzielt, die für CVE-2021-21974 anfällig sind.
Der Fehler wird als OpenSLP-HeapOverflow-Schwachstelle beschrieben, die es Angreifern ermöglicht, Code aus der Ferne auszuführen.
Bisher wissen wir nicht, welche Ransomware-Gruppe den Angriff initiiert hat und welcher Verschlüsseler eingesetzt wird, aber Berichten zufolge werden etwa 20 Server jede Stunde angegriffen.