Ошибка позволяет хакерам заразить сотни серверов программами-вымогателями

Хакеры нацелены на серверы, на которых еще не установлено исправление, устраняющее недостаток в продукте VMware ESXi.

(Фото: Getty Images/style-photography)

Неудачная установка программных исправлений позволила хакерам распространить программы-вымогатели на сотни уязвимых серверов по всему миру.

В выходные агентства кибербезопасности Франции и Италии предупредил о кампании программ-вымогателей, нацеленных на корпоративные серверы, на которых установлено программное обеспечение VMware ESXi. Программа-вымогатель распространяется, используя уязвимость, которую VMware исправила два года назад.

Уязвимость, получившая название CVE-2021-21974, может открыть путь неавторизованному пользователю для запуска мошеннического компьютерного кода через гипервизоры VMware , которые могут размещать несколько виртуальных машин на физическом сервере.

Чтобы остановить атаку, европейские киберорганы призывают пользователей установить исправления VMware для продукта компании ESXi. Однако Франция также предупреждает, что простой установки патча может быть недостаточно. «Действительно, злоумышленник, вероятно, уже воспользовался уязвимостью и, возможно, сбросил вредоносный код. Рекомендуется выполнить сканирование системы для обнаружения любых признаков компрометации», — говорится в сообщении агентства кибербезопасности страны.

Об этом сообщает французский поставщик облачных вычислений OVHcloud: атаки были обнаружены во всем мире. Как только происходит компрометация, программа-вымогатель попытается зашифровать все файлы на виртуальных машинах сервера, прежде чем отключить их.

Израильская компания по кибербезопасности DarkFeed опубликовала заметку о программе-вымогателе. Злоумышленники требуют два биткойна (46 000 долларов США) в качестве выкупа в течение трех дней, чтобы получить ключ дешифрования. Кроме того, хакеры утверждают, что украли файлы с виртуальных машин и планируют опубликовать их, если жертва не заплатит.

С тех пор исследователи безопасности обнаружили доказательства того, что хакеры заразили сотни серверов с программами-вымогателями. Еще одна оценка от BleepingComputer увеличивает это число до тысяч.

К счастью, некоторые файлы, зашифрованные во время атаки программы-вымогателя, возможно восстановить. «В некоторых случаях шифрование файлов может частично дать сбой, что позволит восстановить данные», — сказал OVHcloud со ссылкой на выводы от исследователя безопасности. «Мы успешно протестировали эту процедуру, а также множество экспертов по безопасности на нескольких затронутых серверах. Вероятность успеха составляет около 2/3».

VMware не сразу ответила на запрос о комментариях. Уязвимость затрагивает версии программного обеспечения VMware ESXi 6.5, 6.7 и 7.0.