Hakeri iskorištavaju softversku grešku koja nije zakrpana u VMWareovim ESXi poslužiteljima s ciljem širenja ransomwarea diljem svijeta.
Nezakrpane VMWare poslužitelje zlorabe hakeri
Softverska ranjivost stara dvije godine prisutna u VMWareovim ESXi poslužiteljima postala je meta raširene hakerske kampanje. Cilj napada je implementacija ESXiArgs, nove varijante ransomwarea. Procjenjuje se da su pogođene stotine organizacija.
Francuski tim za odgovor na računalne hitne slučajeve (CERT) objavio je priopćenje 3. veljače u kojem se raspravlja o prirodi napada. u CERT post, napisano je da su kampanje "čini se iskoristile izloženost ESXija hipervizori koji nisu dovoljno brzo ažurirani sigurnosnim zakrpama." CERT je također zabilježio da ciljana pogreška "dopušta napadaču da izvede daljinsko iskorištavanje proizvoljnog koda."
Organizacije su pozvane da zakrpaju ranjivost hipervizora kako ne bi postale žrtve ove operacije ransomwarea. Međutim, CERT je podsjetio čitatelje u gore navedenoj izjavi da je "ažuriranje proizvoda ili softvera delikatan operacija koja se mora provoditi s oprezom", te da se "preporuča obavljanje testova što više moguće."
VMWare je također govorio o situaciji
Uz CERT i razne druge entitete, VMWare je također objavio post o ovom globalnom napadu. U VMWare savjetovanje, napisano je da ranjivost poslužitelja (poznata kao CVE-2021-21974) može zlonamjernim akterima mogućnost "pokretanja problema prelijevanja gomile u OpenSLP usluzi što rezultira udaljenim kodom izvršenje."
VMWare je također primijetio da je izdao zakrpu za ovu ranjivost u veljači 2021., koja se može koristiti za odsijecanje vektora napada zlonamjernih operatera i stoga izbjegavanje cilja.
Čini se da ovaj napad nije državni
Iako identitet napadača u ovoj kampanji još nije poznat, rečeno je iz talijanske Nacionalne kibernetičke službe Agencija (ACN) da trenutno nema dokaza koji upućuju na to da je napad izveo bilo koji državni subjekt (kako je izvijestio Reuters). Različite talijanske organizacije bile su pogođene ovim napadom, kao i organizacije u Francuskoj, SAD-u, Njemačkoj i Kanadi.
Dani su prijedlozi tko bi mogao biti odgovoran za ovu kampanju, sa softverom iz raznih ransomware obitelji kao što su BlackCat, Agenda i Nokoyawa, koji se razmatraju. Vrijeme će pokazati hoće li se identitet operatera moći otkriti.
Napadi ransomwarea i dalje predstavljaju veliki rizik
Kako godine prolaze, sve više organizacija postaje žrtva napada ransomwarea. Ovaj način kibernetičkog kriminala postao je nevjerojatno popularan među zlonamjernim akterima, a ovo globalno hakiranje VMWarea pokazuje koliko raširene mogu biti posljedice.