{"id":5592,"date":"2023-02-12T17:45:22","date_gmt":"2023-02-12T17:45:22","guid":{"rendered":"https:\/\/www.forenova.com\/blog\/new-esxiargs-ransomware-targets-vmware-esxi-servers-globally\/"},"modified":"2024-12-13T10:41:24","modified_gmt":"2024-12-13T10:41:24","slug":"neue-esxiargs-ransomware-nutzt-weltweit-vmware-esxi-server-aus","status":"publish","type":"post","link":"https:\/\/www.forenova.com\/de\/blog\/neue-esxiargs-ransomware-nutzt-weltweit-vmware-esxi-server-aus\/","title":{"rendered":"Neue ESXiArgs-Ransomware nutzt weltweit VMware ESXi-Server aus"},"content":{"rendered":"

Eine neue Ransomware-Variante, die die VMware ESXi f\u00fcr Angriffe ausnutzt. Sie richtet seit Anfang Februar weltweit Schaden in Unternehmen an. Die Ransomware mit dem Namen ESXiArgs hat bis zum 10. Februar bereits Tausende von Servern angegriffen und verschl\u00fcsselt. Die Angreifer nutzen ungepatchte Instanzen der zwei Jahre alten ESXi OpenSLP Heap Overflow-Schwachstelle CVE-2021-21974 aus, um sich Zugang zu Netzwerken zu verschaffen und ESXiArgs einzusetzen.<\/p>\n

<\/p>\n

<\/p>\n

Was ist ESXiArgs Ransomware?<\/strong><\/h2>\n

ESXiArgs ist eine neue Linux-basierte Ransomware, die die VMware ESXi f\u00fcr Angriffe nutzt. Es ist ein Typ-1-Hypervisor der Unternehmensklasse, der von VMware f\u00fcr die Bereitstellung und den Betrieb virtueller Maschinen entwickelt wurde. Anfang Februar 2023 gab das franz\u00f6sischen National Government Computer Security Incident Response Team (CERT-FR) in einem Advisory erstmals Einzelheiten \u00fcber EXSiArgs bekannt. In diesem Rahmen wurde herausgefunden, dass die ESXiArgs-Kampagne eine zwei Jahre alte Heap-Overflow-Schwachstelle (CVE-2021-21974) im OpenSLP-Dienst von ESXi ausnutzt. \u00a0Im urspr\u00fcnglichen VMware-Sicherheitshinweis vom 23. Februar 2021 hei\u00dft es: „Ein b\u00f6swilliger Akteur, der sich im selben Netzwerksegment wie ESXi befindet und Zugriff auf Port 427 hat, kann m\u00f6glicherweise das Heap-Overflow-Problem im OpenSLP-Dienst ausl\u00f6sen, was zu Remotecodeausf\u00fchrung f\u00fchrt.“ Nach erfolgreicher Infiltration kann der Angreifer seine b\u00f6sartigen Dateien auf den Server laden, was zur Verschl\u00fcsselung der virtuellen Maschinen und ihrer Daten f\u00fchrt.<\/p>\n

CVE-2021-21974 ist eine gepatchte Sicherheitsl\u00fccke und Angreifer nutzen ungepatchte Instanzen von ESXi aus, um die Ransomware ESXiArgs zu installieren. CVE-2021-21974 betrifft die folgenden VMware ESXi-Versionen:<\/p>\n

7.x vor ESXi70U1c-17325551<\/p>\n

6.7.x vor ESXi670-202102401-SG<\/p>\n

6.5.x vor ESXi650-202102101-SG<\/p>\n

Summary of CVE-2021-21974<\/strong><\/h3>\n\n\n\n<\/colgroup>\n\n\n\n\n\n\n\n\n\n\n\n
\n

Name der Schwachstelle<\/p>\n<\/td>\n

\n

VMware ESXi OpenSLP Heap Overflow Vulnerability (CVE-2021-21974)<\/span><\/span><\/p>\n<\/td>\n<\/tr>\n

\n

Datum der Ver\u00f6ffentlichung<\/strong><\/span><\/span><\/p>\n<\/td>\n

\n

23. Februar 2021<\/span><\/span><\/p>\n<\/td>\n<\/tr>\n

\n

Anf\u00e4llige Komponente<\/p>\n<\/td>\n

\n

OpenSLP (Service Location Protocol) Service<\/span><\/span><\/p>\n<\/td>\n<\/tr>\n

\n

Art der Schwachstelle<\/p>\n<\/td>\n

\n

Heap Overflow-Schwachstelle<\/p>\n<\/td>\n<\/tr>\n

\n

Betroffene Versionen<\/p>\n<\/td>\n

\n

7.x vor ESXi70U1c-17325551<\/span><\/span><\/p>\n

6.7.x vor ESXi670-202102401-SG<\/span><\/span><\/p>\n

6.5.x vor ESXi650-202102101-SG<\/span><\/span><\/p>\n<\/td>\n<\/tr>\n

\n

Schweregrad<\/p>\n<\/td>\n

\n

CVSS v3 Base Score: 8.8 (High)<\/span><\/span><\/p>\n<\/td>\n<\/tr>\n

\n

Ausnutzbarkeit<\/p>\n<\/td>\n

\n

Angriffsvektor: Angrenzend<\/p>\n

Komplexit\u00e4t des Angriffs: Niedrig<\/p>\n

Erforderliche Privilegien: Keine<\/p>\n

Interaktionen mit den Usern: Keine<\/span><\/span><\/p>\n<\/td>\n<\/tr>\n

\n

Anwendungsbereich<\/p>\n<\/td>\n

\n

Unver\u00e4ndert<\/span><\/span><\/p>\n<\/td>\n<\/tr>\n

\n

Auswirkungen\/Einfluss<\/strong><\/span><\/span><\/p>\n<\/td>\n

\n

Auswirkungen auf die Vertraulichkeit: Hoch<\/span><\/span><\/p>\n

Auswirkungen auf die Integrit\u00e4t: Hoch<\/span><\/p>\n

Auswirkungen auf die Verf\u00fcgbarkeit: Hoch<\/span><\/p>\n<\/td>\n<\/tr>\n

\n

Patch Status<\/strong><\/span><\/span><\/p>\n<\/td>\n

\n

Gepatcht<\/span><\/span><\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Der aktuelle Stand der ESXiArgs-Ransomware-Angriffe<\/h2>\n

Laut eines aktualisierten Artikels<\/a> von BleepingComputer, der am 5. Februar erschien, wurden am Ende des ersten Angriffstages etwa 120 ESXi-Server verschl\u00fcsselt. Au\u00dferdem erreichte laut BleepingComputer die Zahl der kompromittierten ESXi-Server nach einer Angriffswelle am Wochenende weltweit 2.400 Computer, wobei die meisten davon in Europa zu finden sind, wie aus Daten von Censys Search hervorgeht. Laut einem gemeinsamen Cybersecurity Advisory<\/a> der US-Beh\u00f6rde f\u00fcr Cybersicherheit und Infrastruktursicherheit (CISA) und dem FBI, die am 8. Februar ver\u00f6ffentlicht wurde, infizierten sich weltweit \u00fcber 3.800 Server mit der ESXiArgs Ransomware.<\/p>\n

Trotz der gro\u00dfen Anzahl der betroffenen Systeme, war die\u00a0 ESXiArgs Kampagne aus der Sicht der Angreifer nicht besonders erfolgreich. In einem Update ihres Artikels vom 6. Februar 2023, verk\u00fcndete BleepingComputer, dass ihre Zahlungsnachverfolgung f\u00fcr Ransomware Ransomwhere<\/em> bis dahin nur vier L\u00f6segeldforderungen in H\u00f6he von insgesamt 88.000 USD entdeckt hat.<\/p>\n

Der Grund f\u00fcr die niedrigen L\u00f6segeldzahlungen ist h\u00f6chstwahrscheinlich die Ver\u00f6ffentlichung von Wiederherstellungsskripten, die von der CISA und dem Sicherheitsforscher Enes Sonmez bereitgestellt wurden. Sie unterst\u00fctzten Opfer dadurch, verschl\u00fcsselte virtuelle Maschinen wiederherzustellen. Weitere Informationen \u00fcber Abhilfema\u00dfnahmen finden Sie weiter unten.<\/p>\n

Technische Details sch\u00e4dlicher Dateien der ESXiArgs Malicious Ransomware<\/strong><\/h3>\n

Bei einem ESXiArgs Ransomware-Angriff<\/a>\u00a0sind f\u00fcnf sch\u00e4dliche Dateien betroffen. Diese Dateien werden im Ordner \/tmp\/ des Servers gespeichert, nachdem dieser kompromittiert wurde. Die Namen und Beschreibungen der b\u00f6sartigen Dateien sind in der folgenden Tabelle aufgef\u00fchrt.<\/p>\n\n\n\n<\/colgroup>\n\n\n\n\n\n\n\n
\n

Ordner Name<\/strong><\/span><\/span><\/p>\n<\/td>\n

\n

Beschreibung<\/strong><\/span><\/span><\/p>\n<\/td>\n<\/tr>\n

\n

encrypt<\/strong><\/span><\/span><\/p>\n<\/td>\n

\n

Die ausf\u00fchrbare ELF-Datei des Verschl\u00fcsslers<\/p>\n<\/td>\n<\/tr>\n

\n

encrypt.sh<\/strong><\/span><\/span><\/p>\n<\/td>\n

\n

Ein Shell-Skript, das zur Logik des Angriffs dient. Es f\u00fchrt verschiedene Aufgaben vor und nach der Ausf\u00fchrung des Verschl\u00fcsselungsprogramms aus.<\/p>\n<\/td>\n<\/tr>\n

\n

public.pem<\/strong><\/span><\/span><\/p>\n<\/td>\n

\n

Ein \u00f6ffentlicher RSA-Schl\u00fcssel, der zum Verschl\u00fcsseln einer Datei verwendet wird<\/p>\n<\/td>\n<\/tr>\n

\n

motd<\/strong><\/span><\/span><\/p>\n<\/td>\n

\n

Die L\u00f6segeldforderung im Textformat<\/p>\n<\/td>\n<\/tr>\n

\n

index.html<\/strong><\/span><\/span><\/p>\n<\/td>\n

\n

Die L\u00f6segeldforderung im\u00a0 HTML Format<\/span><\/span><\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

encrypt.sh<\/strong><\/h3>\n

Das Shell-Skript encrypt.sh<\/em> f\u00fchrt vor und nach der Ausf\u00fchrung des Verschl\u00fcsselungsprogramms die folgenden Aufgaben aus:<\/p>\n

    \n
  1. \n

    \u00c4nderung der Konfigurationsdateien (.vmx) einer virtuellen ESXi-Maschine. Die Dateierweiterungen ‚.vmdk‘ (Festplattendateien der virtuellen Maschine) und ‚.vswp‘ (Auslagerungsdatei der virtuellen Maschine) werden in ‚1.vmdk‘ und ‚1.vswp‘ ge\u00e4ndert.<\/p>\n<\/li>\n<\/ol>\n

      \n
    1. \n

      \u00a0Durch erzwungenes Beenden (kill -9) werden alle laufenden virtuellen Maschinen und alle Prozesse, die die Erweiterung ‚.vmx‘ enthalten, beendet.<\/p>\n<\/li>\n<\/ol>\n

        \n
      1. \n

        Erfassen aller Storage Volumes auf dem ESXi-Host, damit auch virtuelle Festplatten, die nicht an die VM angeschlossen sind, verschl\u00fcsselt werden k\u00f6nnen.<\/p>\n<\/li>\n<\/ol>\n

        Das Shell-Skript sucht in den Storage-Volumes nach Dateien mit den folgenden Erweiterungen:<\/p>\n