2min

Wereldwijd zijn duizenden VMware ESXi-servers dit weekend getroffen door een ransomware-aanval. Het gaat hierbij om een aanval die een twee jaar oude kwetsbaarheid voor dit type servers gebruikt, zo meldt het Franse Computer Emergency Response Team (CERT-FR).

Volgens de Franse cybersecuritywaakhond is sinds vrijdag 3 februari een ransomware-aanval aan de gang die zich speciaal richt op VMware ESXi-servers. De eerste meldingen kwamen uit Frankrijk, maar later ook uit Italië, Finland, de VS en Canada. In totaal gaat het om minstens 3200 getroffen servers.

De betreffende servers worden aangevallen door een twee jaar oude remote-code kwetsbaarheid, CVE-2021-21974, die nu wordt misbruikt voor het verspreiden van een nieuwe ESXiArgs-ransomwarevariant. Deze kwetsbaarheid zorgt voor een ‘heap overflow’ in de OpenSLP-dienst. Cybercriminelen kunnen deze kwetsbaarheid eenvoudig misbruiken. Sinds februari 2021 is hiervoor een patch beschikbaar, maar blijkbaar nog niet overal doorgevoerd.

De kwetsbaarheid CVE-2021-21974 geldt voor de volgende systemen: ESXi-versies 7.x voor build ESXi70U1c-17325551, ESXi-versies 6.7.x voor build ESXi670-202102401-SG en de ESXi-versies 6.5.x voor build ESXi650-202102101-SG. Vooral de ESXi-hypervisor-versies 6.x tot 6.7 zouden op dit moment het echte doel zijn van de wereldwijde ransomware-aanval

ESXiArgs-ransomware details

Het gaat bij deze aanval om een nieuwe variant ransomware. Hij heeft de naam ESXiArgs meegekregen. Onderzoekers constateren uit samples dat de ransomware bestanden met de extensies .vmxf, .vmx, .vmdk, .vmsd, en .nvram versleutelt. Daarnaast maakt het een .args-bestand aan voor ieder versleuteld document met metadata. Dit bestand is mogelijk nodig voor het uiteindelijke ontsleutelen.

Wanneer een server is gecorrumpeerd worden er een aantal bestanden in de temp-folder gezet. Het gaat hier onder andere om het daadwerkelijke versleutelingsbestand, encrypt.sh. Dat voert verschillende taken uit die nodig zijn voor het installeren van de encryptor.

Daarnaast bevat deze folder ook de bestanden motd, het ransomware-bericht in een .text-bestand dat bij login wordt getoond en index.html en de pagina met de ransomware-note die de homepage van VMware ESXi vervangt. Dit bestand heeft index1.html als naam.

Sosemanuk-algoritme

Uit meer diepgaand onderzoek blijkt dat voor het versleutelen van een bestand de ransomware 32 bytes genereert met de veilige CPRNG RAND pseudo bytes van OpenSSL. Deze sleutel wordt gebruikt voor het versleutelen van het bestand met Sosemanuk. De bestandssleutel zelf wordt versleuteld met RSA.

Vooral het gebruik van het Sosemanuk-algoritme is volgens experts opmerkelijk. Dit doet vermoeden dat deze nieuwe ransomware gebruikmaakt van Babuk (ESXi-variant) broncode. Men heeft deze nu blijkbaar aangepast om RSA te gebruiken in plaats van de Babuk Curve25519-implementatie.

Zo snel mogelijk patchen

CERT-FR waarschuwt dat eindgebruikers met de VMware EXSi-servers met de genoemde hypervisor-versies zo snel mogelijk de patches moeten doorvoeren. In ieder geval zou iedereen meteen zijn systemen moeten testen of de ransomware-variant met de genoemde kenmerken al op de systemen aanwezig is, voordat de patches worden uitgevoerd.

Tip: Cybercriminelen kapen VMware ESXi met nooit eerder ontdekte techniek