{"id":244391,"date":"2021-02-02T21:56:52","date_gmt":"2021-02-02T20:56:52","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=244391"},"modified":"2024-03-31T20:15:15","modified_gmt":"2024-03-31T18:15:15","slug":"ransomexx-ransomware-gruppe-zielt-auf-vmware-esxi-schwachstellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/02\/02\/ransomexx-ransomware-gruppe-zielt-auf-vmware-esxi-schwachstellen\/","title":{"rendered":"RansomExx Ransomware-Gruppe zielt auf VMWare ESXi-Schwachstellen"},"content":{"rendered":"

[English<\/a>]Hinweis f\u00fcr Administratoren von VMWare ESXi-Systemen. Die RansomExx-Ransomware-Gang scheint in mehreren Vorf\u00e4lle involviert, bei denen Schwachstellen in VMWare ESXi-Instanzen ausgenutzt wurden, um virtuelle Maschinen anzugreifen und deren virtuelle Festplatten zu verschl\u00fcsseln.<\/p>\n

<\/p>\n

\"\"Ich bin \u00fcber den nachfolgenden Tweet<\/a> von Catalin Cimpanu auf das Thema aufmerksam geworden. Die Details hat er in diesem ZDNet-Artikel<\/a> zusammen getragen.<\/p>\n

\"RansomExx<\/a><\/p>\n

Laut Sicherheitsforschern gibt es Hinweise, dass die Angreifer die beiden Schwachstellen CVE-2019-5544 und CVE-2020-3992 in der Virtualisierungsl\u00f6sung VMware ESXi nutzten, um die Festplatten zu verschl\u00fcsseln. Beide Schwachstellen betreffen das Service Location Protocol (SLP), , welches mehreren Ger\u00e4ten im selben Netzwerk erm\u00f6glicht, sich gegenseitig zu erkennen. Das Protokoll wird ebenfalls in VMware ESXi verwendet.<\/p>\n

Laut ZDNet erm\u00f6glichen die Schwachstellen einem Angreifer b\u00f6swillige SLP-Anfragen an ein ESXi-Ger\u00e4t im selben Netzwerk zu senden und die Kontrolle dar\u00fcber zu \u00fcbernehmen. Das klappt selbst dann, wenn es dem Angreifer nicht gelungen ist, den VMWare vCenter-Server zu kompromittieren, an den sich die ESXi-Instanzen normalerweise anmelden.<\/p>\n

Ein erster Angriff wurde im Oktober 2020 auf reddit.com im Beitrag Witnessed my first ESXi ransomware. Crypts VMs at datastore level <\/a>gemeldet:<\/p>\n

I always had thought it wasn't possible, but here it is.<\/p>\n

A customer's environment went entirely offline and all VMs were powered off by the reports we were getting. Some started to think it was a SAN issue since it was so massive and didn't spare any VMs.<\/p>\n

Then, we saw 200 VMs abruptly shutdown and then all files on the datastore get encrypted (vmdk, vmx, logs, the works). The ransom note was left at datastore level.<\/p>\n

The attack was directed, using a RaaS (Ransomware as a Service) code, because all files were encrypted with the company name on the extension of the crypted files. The ransom note also mentions the company name directly.<\/p>\n

There was a Windows 2012R2 server outside VMware which seems to be the ground zero. Since it had access to the ESXi management URL, the mess may have started there.<\/p>\n

Start locking your ESXi management access guys, things will get rough. this customer didn't segregate ESXi management from the VMs.<\/p>\n

\u200bEDIT: Post-mortem posted here<\/a><\/p><\/blockquote>\n

Im Post-mortem-Artikel<\/a> findet sich die Information, dass drei Benutzer in der Firma einen Mail-Anhang mit einem Trojaner angeklickt und somit installiert haben. Damit war der Sch\u00e4dling im gleichen Netzwerk und konnte die virtuellen Laufwerke der VMware ESXi-Maschinen angreifen und verschl\u00fcsseln. Weitere Details lassen sich ggf. dem ZDNet-Artikel<\/a> entnehmen. Wichtig ist, die VMware ESXi-Installationen mit den verf\u00fcgbaren Sicherheitsupdates zu versehen, um gegen diese Art Angriffe gefeit zu sein.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Hinweis f\u00fcr Administratoren von VMWare ESXi-Systemen. Die RansomExx-Ransomware-Gang scheint in mehreren Vorf\u00e4lle involviert, bei denen Schwachstellen in VMWare ESXi-Instanzen ausgenutzt wurden, um virtuelle Maschinen anzugreifen und deren virtuelle Festplatten zu verschl\u00fcsseln.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,14],"tags":[4328,4299],"class_list":["post-244391","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virtualisierung","tag-sicherheit","tag-virtualisierung"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/244391","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=244391"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/244391\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=244391"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=244391"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=244391"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}