Siber suçlular, dünya çapında binlerce kuruluşu hedef alan bir fidye yazılımı kampanyasının parçası olarak iki yıllık bir VMware güvenlik açığından aktif olarak yararlanıyor.
Hafta sonu, VMware ESXi sunucularının 2021’den itibaren uzaktan istismar edilebilir bir hataya karşı savunmasız ve yamasız bırakıldığı ve “ESXiArgs” adlı bir fidye yazılımı varyantı tarafından ele geçirildiği ve karıştırıldığına dair raporlar ortaya çıktı. ESXi, kuruluşların tek bir fiziksel sunucuda birden çok işletim sistemi çalıştıran birkaç sanallaştırılmış bilgisayarı barındırmasına olanak tanıyan bir teknoloji olan VMware’in hipervizörüdür.
Fransa’nın bilgisayar acil müdahale ekibi CERT-FR raporlar siber suçlular 3 Şubat’tan beri VMware ESXi sunucularını hedef alırken, İtalya’nın ulusal siber güvenlik ajansı ACN Pazar günü Avrupa ve Kuzey Amerika’da binlerce sunucuyu hedefleyen büyük ölçekli bir fidye yazılımı kampanyası konusunda uyarıda bulundu.
ABD siber güvenlik yetkilileri de ESXiArgs kampanyasını araştırdıklarını doğruladılar.
İç Güvenlik’e bağlı ABD siber güvenlik birimi, “CISA, bildirilen bu olayların etkilerini değerlendirmek ve gerektiğinde yardım sağlamak için kamu ve özel sektör ortaklarımızla birlikte çalışıyor” dedi. Reuters Bir açıklamada. (CISA sözcüsü, TechCrunch’a ulaştığında hemen yorum yapmadı.)
İtalyan siber güvenlik yetkilileri, EXSi kusurunun, kimliği doğrulanmamış tehdit aktörleri tarafından, çalışanların şifrelerini veya sırlarını kullanmaya dayanmayan düşük karmaşıklıktaki saldırılarda kullanılabileceği konusunda uyardı. İtalyan ANSA haber ajansı. Yerel basının bildirdiğine göre, fidye yazılımı kampanyası yama uygulanmamış makine sayısı nedeniyle şimdiden “önemli” hasara neden oluyor.
Şimdiye kadar dünya çapında 3.200’den fazla VMware sunucusunun güvenliği ESXiArgs fidye yazılımı kampanyası tarafından ele geçirildi. bir Censys aramasına göre (aracılığıyla Uyku Bilgisayarı). Fransa en çok etkilenen ülkedir ve onu ABD, Almanya, Kanada ve Birleşik Krallık izlemektedir.
Fidye yazılımı kampanyasının arkasında kimin olduğu belli değil. Fransız bulut bilişim sağlayıcısı OVHCloud geri izlenen Nevada fidye yazılımı varyantına bir bağlantı öneren ilk bulguları üzerine.
Tehdit istihbaratı sağlayıcısı tarafından paylaşılan, iddia edilen fidye notunun bir kopyası Karanlık Besleme, saldırının arkasındaki bilgisayar korsanlarının, kurbanların müşterilerini veri ihlali konusunda bilgilendirmekle tehdit ettikleri bir “üçlü gasp” tekniğini benimsediğini gösteriyor. Bilinmeyen saldırganlar, her notta farklı bir bitcoin cüzdan adresi gösteren 2.06 bitcoin – yaklaşık 19.000 $ fidye ödemesi – talep ediyor.
TechCrunch’a yapılan açıklamada, VMware sözcüsü Doreen Ruyak, şirketin ESXiArgs adlı bir fidye yazılımı varyantının “olarak tanımlanan güvenlik açığından yararlandığı” raporlarından haberdar olduğunu söyledi. CVE-2021-21974” ve güvenlik açığı için yamaların “iki yıl önce VMware’in 23 Şubat 2021 tarihli güvenlik danışma belgesinde müşterilere sunulduğunu” söyledi.
Sözcü, “Güvenlik hijyeni, fidye yazılımı saldırılarını önlemenin önemli bir bileşenidir ve CVE-2021-21974’ten etkilenen ESXi sürümlerini çalıştıran ve henüz yamayı uygulamamış olan kuruluşlar, danışma belgesinde belirtildiği şekilde harekete geçmelidir.” .