ESXiArgs Ransomware und wie HostZealot mit ihr umgeht
15:08, 07.04.2023
Obwohl Cyberangriffe in den letzten Jahren zurückgegangen sind, sind sie auch raffinierter geworden. Außerdem achten Cyberkriminelle darauf, alte Schwachstellen auszunutzen, und machen sich dabei zunutze, dass viele Nutzer nachlässig mit der Sicherheit und der Bedeutung von Software-Updates umgehen. In diesem Artikel befassen wir uns mit ESXiArgs Ransomware, einer Malware, die eine Sicherheitslücke aus dem Jahr 2019 ausnutzt.
Es bedeutet nicht, dass Sie sicher sind, wenn Sie noch nicht von dieser Sicherheitslücke betroffen sind. Schützen Sie Ihre virtuellen Maschinen besser im Voraus, indem Sie die von HostZealot in ihrer Wissensdatenbank bereitgestellten Patches verwenden. Auf dieser Seite finden Sie detaillierte Anweisungen zur Implementierung von Patches für verschiedene VMware ESXi-Versionen. Alle Informationen finden Sie unter:
ESXiArgs technische Details
ESXiArgs ist eine Malware, die den VMware ESXi-Hypervisor befällt – eine der beliebtesten Virtualisierungsplattformen. Ihr Ziel ist es, das System zu beschädigen und ein Lösegeld für die Wiederherstellung zu verlangen. ESXiArgs verschlüsselt Dateien (meist VMware VM-Dateitypen) und ersetzt "motd"-Dateien (die bei der Anmeldung angezeigt werden) und "index.html" (VMware ESXi-Startseite), um eine Lösegeldforderung zu platzieren.
Auf der Lösegeldseite wird von den Opfern die Zahlung von 2 Bitcoins verlangt (der Betrag ist je nach Organisation unterschiedlich), woraufhin sie einen Schlüssel zur Entschlüsselung der Dateien erhalten. Eine frühe Version von ESXiArgs, die von den Angreifern in der ersten Angriffswelle verwendet wurde, wies eine Sicherheitslücke auf. Die Malware verschlüsselte Dateien selektiv – alles unter 128 MB wurde automatisch verschlüsselt, während größere Dateien entweder übersprungen oder teilweise verschlüsselt wurden. Dies ermöglichte es den Entwicklern, das Skript ESXiArgs-Recovery zu erstellen. Damit können Sie Daten entschlüsseln, die von einer früheren Version von ESXiArgs verschlüsselt wurden.
In der zweiten Angriffswelle änderten die Cyberkriminellen die Funktionsweise der Ransomware und verwenden nun robuste Verschlüsselungsalgorithmen, darunter AES-256 und RSA-2048. Dies macht es praktisch unmöglich, Daten ohne einen privaten Schlüssel der Angreifer wiederherzustellen.
Es ist einfach festzustellen, welche Version der Malware Ihren Server infiziert hat. Werfen Sie einfach einen Blick auf die Ransomware-Nachricht. Wenn dort BTC Wallet steht, handelt es sich höchstwahrscheinlich um eine frühe Version von ESXiArgs, und Sie können Ihre Daten wiederherstellen. In einer späteren Version der Software haben die Cyberkriminellen die Geldbörse versteckt und schlagen dem Opfer vor, sich mit ihnen in Verbindung zu setzen, um sie zurückzuholen.
Wer ist betroffen?
Das Spannendste an dieser Geschichte ist, dass der Server-Hack alte Schwachstellen nutzt, darunter CVE-2019-55441, was bedeutet, dass Cybersicherheitsspezialisten ihn 2019 entdeckt haben. In den ersten Tagen des Serverangriffs berichteten die VMware-Entwickler, dass OpenSLP (das es Computern und anderen Geräten ermöglicht, Dienste im lokalen Netzwerk ohne Vorkonfiguration zu finden) bereits 2021 standardmäßig deaktiviert wurde. Auf diese Weise greifen Angreifer Server an, auf denen alte Software läuft.
Die Hacker greifen hauptsächlich Server an, auf denen der Hypervisor ESXi 6.0-6.7 läuft. Der Angriff kann einige Versionen von vSphere 7.0 betreffen, die die Serverbesitzer noch auf den neuesten Patch aktualisieren müssen. Wie sich herausstellt, vernachlässigen viele Organisationen, darunter Krankenhäuser, Schulen, Universitäten und große Unternehmen, die Software-Upgrades und zusätzlichen Schutz vor Cyberangriffen.
Der größte jemals verzeichnete Ransomware-Angriff außerhalb von Windows
Ransomware betrifft in der Regel normale Benutzer von Windows-Computern, die auf einen verdächtigen Link geklickt oder kompromittierte Software installiert haben. Bei ESXiArgs haben wir es mit erheblichen Ransomware-Angriffen auf die VMware ESXi-Plattform zu tun.
Sie kann nicht nur Dateien und Daten auf bestimmten Computern verschlüsseln, sondern auch das gesamte Netzwerk einer Organisation. Von ESXiArgs sind weltweit fast 4.000 Organisationen betroffen, und es wird geschätzt, dass Angreifer mithilfe der Sicherheitslücke CVE-2021-21974 Dateien auf 18.500 Servern verschlüsseln können.
Am schmerzhaftesten für Unternehmen ist die Malware, die die Virtualisierungsinfrastruktur angreift, was bedeutet, dass Serverbesitzer nicht einfach Dateien von einem Backup wiederherstellen oder Hardware ersetzen können. Um die Dinge wieder zum Laufen zu bringen, müssen Techniker ESXi-Server und virtuelle Maschinen wiederherstellen. Dies wird viel mehr Zeit und Ressourcen erfordern und das Unternehmen viel mehr kosten.
Aber Sie irren sich, wenn Sie glauben, dass es der richtige Weg ist, Hacker zu bezahlen, um wieder Zugriff auf die Dateien zu erhalten. Der erhaltene Schlüssel kann sehr langsam sein. Wenn Sie also ein Netzwerk mit vielen virtuellen Maschinen eingerichtet haben, wird es Wochen dauern, bis Sie Ihren Server wiederherstellen können. Darüber hinaus sind viele Fälle bekannt, in denen Kriminelle Lösegeld erhalten und den Opfern keine Entschlüsselungsschlüssel zur Verfügung stellen. Die Unternehmen haben Zeit und Geld verschwendet, ohne die erwarteten Ergebnisse zu erzielen.
Die Bedrohung durch die Offenlegung vertraulicher Daten
Eine der schwerwiegendsten Bedrohungen, die mit Ransomware-Angriffen wie ESXiArgs verbunden sind, ist das Risiko der Offenlegung oder Weitergabe sensibler Daten. ESXiArgs-Ransomware kann den Zugriff auf wertvolle Daten wie Jahresabschlüsse und Verträge blockieren. Noch wichtiger ist jedoch, dass Angreifer diese Daten öffentlich zugänglich machen oder sie im Darknet verkaufen können. Viele Unternehmen sind auf die Vertraulichkeit ihrer Daten angewiesen, um sich einen Wettbewerbsvorteil zu sichern, und die Offenlegung dieser Informationen kann schwerwiegende finanzielle und rufschädigende Folgen haben.
In den letzten Jahren haben wir einen dramatischen Anstieg von Ransomware-Angriffen auf wertvolle Daten erlebt. Das liegt daran, dass die Angreifer den Wert sensibler Daten kennen und wissen, dass Unternehmen versuchen werden, ihre Offenlegung zu verhindern. Die Angreifer drohen oft damit, die Daten freizugeben, wenn nicht öffentlich ein Lösegeld gezahlt wird, wodurch der Druck auf die betroffene Organisation erhöht wird, die Forderungen zu erfüllen.
Die Bedrohung durch die Offenlegung von Daten ist besonders akut in Branchen wie dem Gesundheitswesen und dem Finanzwesen, wo der Schutz der Privatsphäre von Patienten und Kunden an erster Stelle steht. In diesen Branchen können Datenschutzverletzungen zu behördlichen Geldbußen, zum Verlust von Kunden und zu irreparablen Rufschädigungen führen. Auch in anderen Branchen kann die Offenlegung sensibler Daten zu einem Vertrauensverlust bei Kunden und Partnern führen, was erhebliche finanzielle Verluste nach sich ziehen kann.
Darüber hinaus können die Folgen einer Datenschutzverletzung lang anhaltend sein: Betroffene Unternehmen sehen sich oft mit Klagen, behördlichen Untersuchungen und Rufschädigung konfrontiert, deren Behebung Jahre dauern kann.
Wie sich Ransomware auf große Unternehmen auswirkt
Große Unternehmen sind aufgrund ihrer Größe und Komplexität besonders anfällig für Ransomware-Angriffe. Diese Organisationen verfügen oft über umfangreiche IT-Infrastrukturen, die schwer zu schützen und zu überwachen sind. Diese Komplexität macht es Angreifern leichter, Schwachstellen im Netzwerk zu finden und sie auszunutzen, um Zugang zu sensiblen Daten zu erhalten.
Die Angriffe können schwerwiegende Folgen für große Unternehmen haben, wie z. B:
- Umsatz- und Reputationsverluste aufgrund von Ausfallzeiten von Geschäftsprozessen, Nichtverfügbarkeit von Dienstleistungen oder Produkten für Kunden und Partner;
- Verlust und Durchsickern sensibler oder vertraulicher Daten, wie z. B. persönliche Kundendaten, Finanzinformationen, geistiges Eigentum oder sensible Daten. Dies könnte zu Geldstrafen, Gerichtsverfahren oder behördlichen Sanktionen führen;
- Verlust des Vertrauens und der Loyalität von Kunden, Partnern und Mitarbeitern aufgrund von Sicherheitsverletzungen und unzureichendem Schutz ihrer Daten;
- Verlust der Wettbewerbs- und Innovationsfähigkeit durch Beschädigung oder Verlust von wertvollen Daten oder Ressourcen;
- Verlust der Kontrolle über ihre Infrastruktur und Daten aufgrund von Verschlüsselung oder Löschung von Dateien durch Angreifer.
Die finanziellen Auswirkungen von Ransomware-Angriffen auf große Unternehmen können erheblich sein. Neben den Kosten für die Ransomware müssen diese Unternehmen auch mit Produktivitätseinbußen und Kosten für die Behebung des Problems rechnen.
Angesichts der Schwere der Bedrohung müssen große Unternehmen einen proaktiven Ansatz zur Ransomware-Prävention wählen. Dazu gehören regelmäßige Schwachstellenbewertungen, Netzwerküberwachung und Mitarbeiterschulungen, um sicherzustellen, dass die Mitarbeiter sich der Risiken bewusst sind und wissen, wie sie einem Angriff nicht zum Opfer fallen können.
Wie Sie Ihren Server vor dem nächsten Ransomware-Angriff schützen können
Nach einem ESXiArgs-Angriff und anderen ähnlichen Vorfällen ist es wichtiger denn je, Server und andere kritische Infrastrukturen vor solchen Vorfällen zu schützen. Im Folgenden finden Sie einige Tipps, die Ihnen helfen, das Risiko eines Ransomware-Angriffs zu minimieren und den Schaden zu begrenzen, falls es zu einem solchen kommt.
Halten Sie Ihre Software auf dem neuesten Stand
Aktualisieren Sie die gesamte Software – das ist der effektivste Weg, um Ihren Server zu schützen und Angriffe zu verhindern. Dazu gehören Betriebssysteme, Serveranwendungen und andere Software, die auf Servern läuft. Software-Anbieter veröffentlichen oft Patches und Updates, die Sicherheitslücken und andere Probleme beheben, so dass es wichtig ist, diese Updates im Auge zu behalten.
Einführung einer festen Kennwortrichtlinie
Schwache Passwörter sind eine der häufigsten Schwachstellen, die Angreifer für den Zugriff auf Server und andere Systeme nutzen. Um sich vor Ransomware-Angriffen zu schützen, sollte ein Unternehmen eine strenge Passwortrichtlinie einführen. Diese sollte komplexe Passwörter, regelmäßige Änderungen der Passwörter und wenn möglich eine Zwei-Faktor-Authentifizierung vorschreiben.
Schulung Ihrer Mitarbeiter
Aufklärung der Benutzer über die Risiken und die besten Praktiken für die Internetsicherheit. Dazu gehören Schulungen zur Erkennung von Phishing-Betrug, zur Vermeidung des Herunterladens von Malware und zur Meldung verdächtiger Aktivitäten an Ihre IT- oder Sicherheitsabteilung. Die meisten Einbrüche erfolgen, weil Mitarbeiter auf verdächtige Links klicken, Anhänge von E-Mails verschiedener Organisationen öffnen oder nicht lizenzierte Software auf ihren Computern installieren. Es ist wichtig, über die mit diesen Aktivitäten verbundenen Risiken aufzuklären.
Beschränkter Zugang zu verschiedenen Datentypen
Wenn Ihr Unternehmen viele Mitarbeiter mit unterschiedlichen Verantwortungsebenen hat, sollten Sie sich die Zeit nehmen, den Zugang zu sensiblen Daten auf die Benutzer zu beschränken, die ihn nicht benötigen. Je weniger Mitarbeiter Zugriff auf bestimmte Dateien haben, desto geringer ist die Wahrscheinlichkeit, dass ein Cyberkrimineller in das System einbricht. Die komplexe Struktur macht es fast unmöglich, aus der Ferne in Ihren Server einzubrechen.
Vergessen Sie nicht auf Backups
Regelmäßige Backups sind entscheidend für den Schutz Ihres Unternehmens vor den Auswirkungen eines Ransomware-Angriffs. Natürlich hilft das nicht bei Viren wie ESXiArgs, aber niemand weiß, was die nächsten Angriffe sein werden. Wenn Ihre Server kompromittiert werden, können aktuelle Backups den Unterschied zwischen einer kleinen Unannehmlichkeit und einem katastrophalen Datenverlust ausmachen. Achten Sie darauf, dass Ihre Backups extern und an einem sicheren Ort aufbewahrt werden, damit sie bei einem Angriff nicht beschädigt werden.
Entwicklung eines umfassenden Reaktionsplans für Zwischenfälle
Trotz Ihrer besten Bemühungen besteht die Möglichkeit, dass Ihr Unternehmen Opfer eines Ransomware-Angriffs wird. Ein umfassender Plan zur Reaktion auf einen Vorfall ist von entscheidender Bedeutung. Er sollte die Schritte zur Schadensminimierung und zur schnellen Wiederherstellung des Betriebs beschreiben. Dieser Plan sollte Verfahren zur Isolierung infizierter Systeme, zur Wiederherstellung von Daten aus Sicherungskopien und zur Kommunikation mit Beteiligten und Kunden enthalten.
ESXiArgs-Ransomware ist eine gefährliche Malware, die jedem Unternehmen, das ihr zum Opfer fällt, erheblichen Schaden zufügen kann. Es ist wichtig, dass Sie proaktive Maßnahmen zum Schutz Ihrer Systeme ergreifen und sich und Ihre Mitarbeiter darin schulen, diese Bedrohungen zu erkennen und zu vermeiden. Wichtig ist auch, dass Sie regelmäßig Backups Ihrer Daten erstellen, damit Sie sie im Falle eines Angriffs schnell wiederherstellen können.