駭客正積極利用一個存在兩年的VMware漏洞,作為勒索軟體活動的一部分,目標是全球數千家機構。
從2021年開始針對VMware ESXi伺服器的勒索軟體「ESXiArgs」,可以遠端操控多台虛擬機。ESXi是VMware的虛擬機監視器(Hypervisor),透過虛擬化將一台硬體伺服器分成多個虛擬機,執行多個作業系統。
法國電腦緊急應變團隊(CERT-FR)稱,自2月3日以來,駭客一直在攻擊VMware ESXi伺服器,而義大利國家網路安全局(ACN)2月5日警告,歐洲和北美的數千台伺服器正遭受大規模勒索軟體攻擊。
美國網路安全官員表示「美國網路安全暨基礎設施安全局(CISA)正在與我們的公共和私營部門合作夥伴,共同評估這些報告事件的影響,並提供必要的援助」。CISA發言人表示「現在任何遭遇網路安全事件的組織都應立即向CISA或FBI報告。」
根據搜索引擎Censys(透過Bleeping Computer報導),到目前為止(2月6日),全球已有超過3200台VMware伺服器受到「ESXiArgs」的攻擊。法國是受影響最嚴重的國家,其次是美國、德國、加拿大和英國。
目前尚不清楚此次勒索的幕後黑手。情報提供商DarkFeed說明此次駭客採用了三重勒索(Triple Extortion)技術,即攻擊者會威脅受害者,要通知受害者的客戶其電腦資料被洩露。這些身份不明的攻擊者要求2.06比特幣,約1.9萬美元的贖金。
VMware發言人Doreen Ruyak在聲明中表示,此次「ESXiArgs」的勒索軟體似乎利用了CVE-2021-21974的漏洞,該漏洞的修正檔案已在2021年2月23日發布。
安全衛生(Security Hygiene)是防止勒索軟體攻擊的關鍵部分,運行受CVE-2021-21974影響的ESXi版本但尚未安裝修正檔案的機構應盡快按照指示採取行動。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:Carly Page(2023). Hackers exploiting two-year-old VMware flaw to launch large-scale ransomware campaign. TechCrunch. 檢自:https://techcrunch.com/2023/02/06/hackers-vmware-esxi-ransomware/ (Feb. 13, 2023)
