Bilgisayar korsanları, VMware’in ESXi sunucularındaki bilinen bir güvenlik açığından büyük ölçekte yararlanarak uç noktaları hedefliyor (yeni sekmede açılır) Avrupa ve Kuzey Amerika’da hükümet yetkilileri ve şirket sözcüleri bunu doğruladı.
İtalya Ulusal Siber Güvenlik Ajansı (ACN), bu VMware ürünlerini kullanan işletmeleri cihazlarını derhal güncellemeleri ve böylece devam eden siber suç kampanyasından korunmaları konusunda uyardı.
ANSA (büyük bir İtalyan haber ajansı), bilgisayar korsanlarının İtalya’daki sunucuların yanı sıra Fransa, Finlandiya, Amerika Birleşik Devletleri ve Kanada’da bulunan sunucuları da hedef aldığını söyledi.
500 kurban ve artıyor
Raporlar, İtalya’daki “düzinelerce” kuruluşun kampanyadan etkilendiğini iddia etti. Ajans, şirketlerin “sistemlerinin kilitlenmesini önlemek için” harekete geçmeleri konusunda uyarıldığını söyleyerek, saldırganların güvenlik açığını fidye yazılımı kampanyalarında kullandıklarını öne sürüyor.
Atlantik ötesinde, ABD siber güvenlik yetkilileri gelen raporları analiz ediyorlardı:
“CISA, bildirilen bu olayların etkilerini değerlendirmek ve gerektiğinde yardım sağlamak için kamu ve özel sektör ortaklarımızla birlikte çalışıyor.” Reuters (yeni sekmede açılır) ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi’nden alıntı yaptı.
Bir VMware sözcüsü, bilgisayar korsanlarının 2021’in başlarında keşfedilen ve o yılın Şubat ayında yamalanan bir açığı kötüye kullandığını söyledi. Şirket ayrıca müşterilerini yamayı hemen uygulamaya çağırdı.
tarafından yayınlanan ayrı bir rapordur. Yığın (yeni sekmede açılır) Şimdiye kadar 500’den fazla şirketin kampanyadan etkilendiğini ve gerçekten de bunun bir fidye yazılımı saldırısı olduğunu iddia ediyor. Fransa’daki işletmelerin en çok etkilendiği iddia ediliyor. Ülkenin ulusal hükümet bilgisayar güvenliği olay müdahale ekibi CERT-FR, saldırının yarı otomatik olduğunu ve CVE-2021-21974’e karşı savunmasız sunucuları hedef aldığını söylüyor.
Açık, tehdit aktörlerinin uzaktan kod yürütmesine izin veren bir OpenSLP HeapOverflow güvenlik açığı olarak tanımlanıyor.
Şimdiye kadar hangi fidye yazılımı grubunun saldırıyı başlattığını ve hangi şifreleyicinin konuşlandırıldığını bilmiyoruz, ancak raporlar her saat yaklaşık 20 sunucunun saldırıya uğradığını söylüyor.