CERT-FR (zespół reagowania CERT na incydenty komputerowe funkcjonujący we Francji) jako pierwszy zauważył i rozesłał ostrzeżenia o groźnym ataku. Chodzi o globalną kampanię hakerską ransomware, której ofiarami padły już tysiące serwerów wykorzystujących hiperwizory VMware ESxi.
Inne krajowe agencje bezpieczeństwa cybernetycznego funkcjonujące w USA, Francji i Singapurze wydały również ostrzeżenia przestrzegające przed takimi atakami, których ofiarami padają serwery pracujące w różnych krajach, w tym we Francji, Niemczech, Finlandii, Stanach Zjednoczonych i Kanadzie. Jak donoszą firmy zajmujące cyberbezpieczeństwem, do tej pory na całym świecie zaatakowano grubo ponad 3 tysiące serwerów.
CERT-FR i inne agencje informują, że ataki wykorzystuje lukę CVE-2021-21974, dla której poprawka jest dostępna od 23 lutego 2021 r. Luka znajduje się w oprogramowaniu zarządzającym usługą Service Location Protocol (SLP) i pozwala atakującym zagnieżdżać zdalnie malware. Atakowane są systemy bazujące na hiperwizorach ESXi w wersjach wcześniejszych niż 6.7.
Zobacz również:
Dlatego CERT-FR zaleca, aby wszystkie takie systemy wyłączyć do czasu ich uaktualnienia. Hakerzy po przeprowadzeniu ataku wysyłają do administratorów serwerów żądanie okupu o następującej treści: Security alert! We hacked your company successfully … Send money within 3 days, otherwise we will expose some data and raise the price (Alarm bezpieczeństwa! Pomyślnie zhakowaliśmy Twoją firmę… Wyślij pieniądze w ciągu 3 dni, w przeciwnym razie ujawnimy niektóre dane i podniesiemy cenę okupu. Specjaliści zalecają też, aby nawet po zaktualizowaniu systemu skonfigurować usługę #OpenSLP tak, aby miała dostęp wyłącznie do zaufanych adresów IP. Informują iż atakujący szyfrują tylko pliki konfiguracyjne, a nie dyski vmdk, na których przechowywane są dane.
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS