کمپین جدید باج افزار نقص قدیمی VMware را هدف قرار می دهد که دو سال پیش اصلاح شده بود

به گفته تیم واکنش اضطراری رایانه ای در فرانسه (CERT-FR) مجرمان سیستم های آسیب پذیر این کشور را با یک بدافزار به نام “ESXiArgs” هدف قرار می دهند. مقامات امنیت سایبری در ایتالیا تأیید کردند که این باج افزار همچنین به سیستم های سراسر اروپا و آمریکای شمالی ضربه می زند.

بسیاری از سرورهای VMware ESXi در ساعات گذشته با این یادداشت باج‌گیری رمزگذاری شدند.

VMware می‌گوید این حملات تنها زمانی اتفاق می‌افتد که ادمین‌ها نرم‌افزار ESXi خود را سال‌ها به‌روزرسانی نکرده باشند. سخنگوی Doreen Ruyak به TechCrunch گفت که توسعه دهندگان از حفره امنیتی CVE-2021-21974 آگاه شده و آن را در یک توصیه امنیتی فوریه 2021 اصلاح کردند. او از همه سازمان‌ها می‌خواهد که اطمینان حاصل کنند که نسخه فعلی نرم‌افزار را برای محافظت از خود اجرا می‌کنند.

این حملات حداقل از 3 فوریه ادامه داشته و بیش از 3200 سرور VMware را در سراسر جهان تحت تأثیر قرار داده است. به همان اندازه که این نقص امنیتی قدیمی است، قابل توجه است که حملات چقدر گسترده است. جستجوی Censys اشاره می کند که بیشترین ضربه را فرانسه با 915 سیستم در معرض خطر قرار داده است. ایالات متحده، آلمان، کانادا و بریتانیا در جایگاه های مربوطه خود پنج رتبه اول را پر می کنند و بیش از نیمی از حملات شمارش شده را شامل می شوند. Censys آن را در 15 کشور دیگر نیز دنبال می کند.

مقامات آژانس امنیت سایبری و امنیت زیرساخت (CISA) در ایالات متحده گفتند که در حال بررسی وضعیت هستند و به شرکت ها و سازمان های آسیب دیده کمک می کنند.

تاکنون، مقامات و محققان مطمئن نیستند که چه کسی پشت این حملات است. Deep Intelligence Feed تصاویری از باج‌افزار را در توییتر منتشر کرد که نشان می‌دهد مهاجمان برای آزاد کردن سرورها حدود 2.064921 بیت کوین (حدود 19000 دلار آمریکا) درخواست می‌کنند. DarkFeed اشاره می کند که هر یادداشت باج خواهی یک کیف پول بیت کوین متفاوت را فهرست می کند. OVHcloud در ابتدا این کمپین را به باج افزار نوادا متهم کرد، اما از آن زمان پس از آن انصراف داد و گفت: “هیچ ماده ای نمی تواند ما را وادار کند که این حمله را به هیچ گروهی نسبت دهیم.”

🌐 جدید #باج افزار حمله دیوانه وار در حال گسترش است 🚨

جالب اینجاست که کیف پول بیت کوین در هر اسکناس باج متفاوت است. هیچ وب‌سایتی برای گروه وجود ندارد، فقط شناسه TOX pic.twitter.com/mgyoLxbXvg

– DarkFeed (@ido_cohen2) 3 فوریه 2023

یکی از سخنگویان به TechCrunch گفت: «CISA با شرکای بخش دولتی و خصوصی ما برای ارزیابی تأثیرات این حوادث گزارش‌شده و ارائه کمک در صورت نیاز کار می‌کند». هر سازمانی که یک حادثه امنیت سایبری را تجربه می کند باید فوراً آن را به CISA یا FBI گزارش کند.

رویاک گفت: «بهداشت امنیتی یک مؤلفه کلیدی برای جلوگیری از حملات باج‌افزار است و سازمان‌هایی که نسخه‌های ESXi تحت تأثیر CVE-2021-21974 را اجرا می‌کنند و هنوز این وصله را اعمال نکرده‌اند، باید طبق توصیه‌ها اقدام کنند».

سرورهای VMware آسیب‌دیده که سال‌ها به‌روزرسانی نشده‌اند، می‌توانند قربانی حملات از راه دور «کم پیچیدگی» شوند که نیازی به دانستن هیچ اعتبار کارمندی ندارند. سپس باج افزار داده ها را رمزگذاری می کند و درخواست باج می دهد.

PSA: اگر مدیر سرور ESXi هستید، مطمئن شوید که آخرین نرم افزار EXSi را اجرا می کنید. این توصیه معمولاً ناگفته نماند، اما هکرها در حال حاضر یک کمپین باج‌افزاری را اجرا می‌کنند که از یک باگ قدیمی (از نظر فنی) در سیستم سوء استفاده می‌کند. VMware می‌گوید اگر ادمین‌های ESXi بهداشت امنیتی مناسبی را رعایت کنند، این مشکل رخ نمی‌دهد.