(PL) Über die Internetplattform Bleeping Computer (Link Massive ESXiArgs ransomware attack targets VMware ESXi servers worldwide (bleepingcomputer.com) ) wurden seit dem 3. Februar vermehrt Ransomware-Angriffe gemeldet, die VMware ESXi-Server betreffen. Betroffen sind dabei Server, die nicht gegen eine seit 2 Jahren bekannte Sicherheitslücke für Remotecodeausführung gepatcht wurden. Durch diese Sicherheitslücke kann es Angreifern gelingen, eine neue ESXiArgs-Ransomware zu installieren. Diese ermöglicht das Verschlüsseln der auf den Servern liegenden Daten. Die Angreifer verlangen dann eine Lösegeldzahlung für die Entschlüsselung, eine im Bereich der Cyberkriminalität häufig angewendete Technik.  

Das Bundesamt für Sicherheit in der Informationstechnik hat mittlerweile die zweithöchste Bedrohungslage „3/Orange“ ausgerufen. Der Schweregrad wird im Common Vulnerability Scoring System (CVSS) mit 8,8 Punkten bewertet. G Data meldete dazu Angriffe über die Ransomware Nevada. Deutschland gilt neben Frankreich, den USA und Kanada als Hauptangriffsfeld. Welche Hackergruppe hinter dem Angriff steckt oder ob es sich um gut vernetzte Einzeltäter handelt, ist bisher noch nicht bekannt.  

Wir empfehlen Administratoren umgehend die Sicherheitslücke durch das von VMware 2021 bereitgestellte Update zu schließen. Bis zum erfolgten Update sollten Sie das Location Protocol (SLP) deaktivieren. Im Falle eines bereits erfolgten Zugriffs auf Ihr System, raten wir dazu, auf keinen Fall auf eine solche Lösegeldforderung einzugehen. Melden Sie den Angriff umgehend den Behörden und nehmen Sie Kontakt zu unseren IT-Security-Spezialist:innen. Wir helfen Ihnen gerne beim Umgang mit Cyberangriffen und helfen Ihnen auch gerne dabei, gegen Angriffe dieser Art gewappnet zu sein.

Das Wichtigste auf einen Blick: 

• Wer ist betroffen? Nutzer von VMware ESXi-Servern. Betroffen sind die Systemversionen 6.5.x, 6.7.x und 7.x 
• Infos zur betroffenen Sicherheitslücke gibt’s hier: VMSA-2021-0002 (vmware.com) 
• BSI-Bedrohungslage: 3/Orange 
• Art des Angriffs: Serververschlüsselung via Ransomware 
• Angreifer: Unbekannt 
• Ransomware: Nevada 
• To Do: Sicherheitslücke durch ein Update schließen. Alle Infos gibt es hier: How to Disable/Enable the SLP Service on VMware ESXi (76372) ) 
• Als Workaround wird bis dahin empfohlen, durch Administratoren den Dienst „Location Protocol (SLP) auf ESXi-Hypervisoren zu deaktivieren.