Supportportal

Globale Hackerwelle trifft Deutschland

Wir sind die Experten Ihrer IT-Services

Angriffswelle auf ungepatchte VMware ESXi-Server


Eine globale Welle von Cyberangriffen hat auch deutsche Unternehmen und Institutionen lahmgelegt. Laut dem zuständigen Bundesamt könnten hunderte Firmen betroffen sein. Eine Software-Aktualisierung könne die Sicherheitslücke schließen.

Sicherheitsexperten wie das französische CERT (CERT-FR) oder das BSI warnen eindringlich vor einer aktuell laufenden weltweiten Angriffswelle auf eine hochkritische Sicherheitslücke (9,8) in der Virtualisierungsplattform ESXi von VMware. Die dabei ausgenutzte Schwachstelle CVE-2021-21974 ist zwar bereits seit knapp zwei Jahren bekannt, aber offensichtlich haben weltweit Tausende Verantwortliche den entsprechenden Patch noch immer nicht installiert. Ihre Systeme werden nun von den Cyberkriminellen gezielt angegriffen. Alle Nutzer der ESXi-Versionen 6.5.x, 6.7.x sowie 7.x werden deshalb dringend dazu aufgerufen, den Status ihrer Systeme umgehend zu überprüfen und falls nötig das entsprechende Update für ihre Version einzuspielen. „Wer bisher die Patches nicht installiert hat, sollte hier schnellstens aktiv werden“, warnt Tim Berghoff, Security Evangelist bei der G Data CyberDefense AG.

Nach Angaben des BSI lag der regionale Schwerpunkt der Angriffe auf Frankreich, den USA, Deutschland und Kanada. Auch weitere Länder seien betroffen. Bei den so genannten Ransomware-Angriffen dringen die Angreifer in die Systeme ein, übernehmen die Kontrolle und sperren die Opfer aus. Dabei werden in der Regel die Daten verschlüsselt und nur nach Zahlung eines Lösegeldes wieder zugänglich gemacht.

Die Sicherheitslücke bei der VMWare-Software wurde nach Angaben des BSI bereits im Februar 2021 durch eine Aktualisierung des Programms geschlossen. Die Behörde habe zu dieser Zeit auch vor der Ausnutzung von Schwachstellen im entsprechenden Produkt gewarnt.

Bearbeitet, 09.02.2023:

Für Server, die bei den Ransomware-Attacken vom Wochenende verschlüsselt wurden, hat die amerikanische Cybersicherheitsbehörde CISA nun ein Wiederherstellungsskript veröffentlicht. Es soll helfen, betroffene Maschinen wieder zum Laufen zu bringen. Allerdings kann es nicht in allen Fällen helfen.

Das CISA-Skript ist auf GitHub im ESXiArgs-Recover-Projekt verfügbar. Das Skript recover.sh ist ein Unix-Shell-Skript. Die CISA weist darauf hin, dass sie bei der Erstellung des Skripts auf öffentlich zugängliche Informationen zurückgegriffen hat. Insbesondere wird eine Anleitung von Enes Sonmez und Ahmet Aykac verwendet.

Das Skript sucht nach temporären Kopien von virtuellen Maschinen und deren Konfigurationsdateien, die VMware als Backup erstellt. Diese sind oft nicht verschlüsselt, so dass die benötigten Daten daraus wiederhergestellt werden können. Verschlüsselte VMs kopiert das Skript in einen Unterordner encrypted_files. Allerdings können nicht alle VMs auf diese Weise wiederhergestellt werden.

Auf der GitHub-Seite gibt es auch eine Anleitung, wie das Skript heruntergeladen, mit den richtigen Rechten versehen und schließlich eingesetzt werden kann. Auch wenn nicht alle VMs auf diese Weise wiederhergestellt werden können, kann das Skript möglicherweise einen Totalverlust der virtuellen Maschinen verhindern. Denn es bleibt festzuhalten, dass die Zahlung des erpressten Lösegelds keine gangbare Option sein kann.

Bearbeitet 10.02.2023:

Wie nun kürzlich bekannt wurde, verliert das zum Mittwoch dieser Woche von der US-amerikanischen Cyber-Sicherheitsbehörde CISA bereitgestellte Wiederherstellungsskript seine Wirkung. Mit dem Skript konnten zunächst virtuelle Maschinen auf VMware ESXi-Servern, die von der Angriffswelle namens ESXiArgs betroffen waren, zumindest teilweise gerettet werden. Die böswilligen Akteure hinter den weltweiten Cyberangriffen haben ihre Skripte nun angepasst und verschlüsseln kompromittierte Maschinen nun gründlicher.

Wie Bleepingcomputer berichtet, haben die Cyberkriminellen hinter der ESXiArgs-Angriffswelle das bösartige Skript zur Verschlüsselung virtueller Maschinen auf infiltrierten VMware-Systemen angepasst. Es verschlüsselt nun nicht mehr nur kleine Fragmente, sondern viel größere Dateien der virtuellen Maschinen.