Hakkerit käyttävät hyväkseen VMWaren ESXi-palvelimissa olevaa korjaamatonta ohjelmistovirhettä, jonka tavoitteena on levittää kiristysohjelmia ympäri maailmaa.
Hakkerit väärinkäyttävät korjaamattomia VMWare-palvelimia
VMWaren ESXi-palvelimissa olevasta kaksi vuotta vanhasta ohjelmistohaavoittuvuudesta on tullut laajan hakkerointikampanjan kohde. Hyökkäyksen tavoitteena on ottaa käyttöön ESXiArgs, uusi kiristysohjelmaversio. Satojen organisaatioiden arvioidaan kärsineen.
Ranskan Computer Emergency Response Team (CERT) julkaisi 3. helmikuuta lausunnon, jossa keskusteltiin hyökkäysten luonteesta. Vuonna CERT-postikirjoitettiin, että kampanjat "näyttävät käyttäneen ESXi: n näkyvyyttä hyväkseen hypervisorit joita ei ole päivitetty tietoturvakorjauksilla riittävän nopeasti." CERT huomautti myös, että kohteena oleva bugi "antaa hyökkääjän suorittaa mielivaltaisen koodin etäkäytön".
Organisaatioita on kehotettu korjaamaan hypervisor-haavoittuvuus välttääkseen joutumasta tämän kiristysohjelman uhriksi. CERT kuitenkin muistutti lukijoita edellä mainitussa lausunnossa, että "tuotteen tai ohjelmiston päivittäminen on arkaluonteista toimenpide, joka on suoritettava varoen", ja että "on suositeltavaa suorittaa testejä niin paljon kuin mahdollista."
VMWare on myös puhunut tilanteesta
Yhdessä CERT: n ja useiden muiden tahojen kanssa VMWare on myös julkaissut postauksen tästä maailmanlaajuisesta hyökkäyksestä. Jonkin sisällä VMWaren neuvonta, kirjoitettiin, että palvelimen haavoittuvuus (tunnetaan nimellä CVE-2021-21974) voi antaa haitallisia toimijoita kyky "laukauttaa keon ylivuotoongelma OpenSLP-palvelussa, mikä johtaa etäkoodiin teloitus."
VMWare totesi myös, että se julkaisi tälle haavoittuvuudelle helmikuussa 2021 korjaustiedoston, jota voidaan käyttää katkaisemaan haitallisten operaattoreiden hyökkäysvektorit ja siten välttämään joutumisen kohteeksi.
Tämä hyökkäys ei näytä olevan valtion johtamaa
Vaikka tämän kampanjan hyökkääjien henkilöllisyyttä ei vielä tiedetä, Italian kansallinen kyberturvallisuusvirasto on sanonut sen. ACN: n mukaan tällä hetkellä ei ole todisteita siitä, että hyökkäyksen olisi suorittanut jokin valtion yksikkö (kuten Reuters). Tämä hyökkäys vaikutti useisiin italialaisiin organisaatioihin sekä organisaatioihin Ranskassa, Yhdysvalloissa, Saksassa ja Kanadassa.
On annettu ehdotuksia siitä, kuka voisi olla vastuussa tästä kampanjasta eri ohjelmistojen avulla lunnasohjelmaperheitä kuten BlackCat, Agenda ja Nokoyawa. Aika näyttää, saadaanko operaattoreiden henkilöllisyydet selville.
Ransomware-hyökkäykset aiheuttavat edelleen suuren riskin
Vuosien kuluessa yhä useammat organisaatiot joutuvat kiristysohjelmien uhreiksi. Tämä verkkorikollisuuden muoto on tullut uskomattoman suosituksi pahantahtoisten toimijoiden keskuudessa, ja tämä globaali VMWare-hakkerointi osoittaa, kuinka laajat seuraukset voivat olla.
