Эксперты в области информационной безопасности, как сообщает Bloomberg, зафиксировали масштабную киберкампанию, нацеленную на внедрение программы-вымогателя в IT-системы организаций по всему миру для последующего получения выкупа от жертв. Злоумышленники атакуют серверы, эксплуатируя уязвимость в гипервизоре VMware ESXi.
По оценкам, только в течение минувших выходных программа-вымогатель поразила более 2100 серверов. Наибольшее количество вторжений зафиксировано в США, Франции и Германии. Кроме того, пострадали корпоративные системы в других странах, в частности, в Италии и Канаде. Патч для этой дыры был выпущен ещё в феврале 2021 года, но нынешняя волна взломов говорит о том, что далеко не все компании загрузили апдейт.
Уязвимость, описанная в бюллетене CVE-2021-21974, вызвана проблемой переполнения памяти в службе OpenSLP. Брешь может быть использована злоумышленниками, не прошедшими проверку подлинности, для выполнения произвольных команд. Проблема затрагивает ESXi версии 7.x до ESXi70U1c-17325551, ESXi версии 6.7.x до ESXi670-202102401-SG и ESXi версии 6.5.x до ESXi650-202102101-SG.
Эксплуатируя дыру, злоумышленники внедряют вредоносную программу ESXiArgs. Зловред шифрует файлы с расширениями .vmxf, .vmx, .vmdk, .vmsd и .nvram на поражённых серверах и создаёт файл .args для каждого зашифрованного документа с метаданными (вероятно, необходимыми для расшифровки). Кроме того, преступники оставляют сообщение с требованием выкупа. Анализ показывает, что ESXiArgs, вероятно, основан на исходном коде шифровальщика Babuk, который ранее использовался в ходе других кампаний по вымогательству.
Источник: