کمپین جدید باج افزار نقص قدیمی VMware را هدف قرار می دهد که دو سال پیش اصلاح شده بود

در آخر هفته، محققان امنیتی کشف کردند که عوامل مخرب از راه دور از یک باگ در سرورهای VMware ESXi مربوط به دو سال پیش سوء استفاده می‌کنند. ESXi VMware یک هایپروایزر است که به سرور اجازه می دهد چندین ماشین مجازی را که سیستم عامل های مختلف را اجرا می کنند میزبانی کند.

یکی از سخنگویان به TechCrunch گفت: «CISA با شرکای بخش دولتی و خصوصی ما برای ارزیابی تأثیرات این حوادث گزارش‌شده و ارائه کمک در صورت نیاز کار می‌کند». هر سازمانی که یک حادثه امنیت سایبری را تجربه می کند باید فوراً آن را به CISA یا FBI گزارش کند.

مقامات آژانس امنیت سایبری و امنیت زیرساخت (CISA) در ایالات متحده گفتند که در حال بررسی وضعیت هستند و به شرکت ها و سازمان های آسیب دیده کمک می کنند.

VMware می‌گوید این حملات تنها زمانی اتفاق می‌افتد که ادمین‌ها نرم‌افزار ESXi خود را سال‌ها به‌روزرسانی نکرده باشند. سخنگوی Doreen Ruyak به TechCrunch گفت که توسعه دهندگان از حفره امنیتی CVE-2021-21974 آگاه شده و آن را در یک توصیه امنیتی فوریه 2021 اصلاح کردند. او از همه سازمان‌ها می‌خواهد که اطمینان حاصل کنند که نسخه فعلی نرم‌افزار را برای محافظت از خود اجرا می‌کنند.

به گفته تیم واکنش اضطراری رایانه ای در فرانسه (CERT-FR) مجرمان سیستم های آسیب پذیر این کشور را با یک بدافزار به نام “ESXiArgs” هدف قرار می دهند. مقامات امنیت سایبری در ایتالیا تأیید کردند که این باج افزار همچنین به سیستم های سراسر اروپا و آمریکای شمالی ضربه می زند.

بسیاری از سرورهای VMware ESXi در ساعات گذشته با این یادداشت باج‌گیری رمزگذاری شدند.

تاکنون، مقامات و محققان مطمئن نیستند که چه کسی پشت این حملات است. Deep Intelligence Feed تصاویری از باج‌افزار را در توییتر منتشر کرد که نشان می‌دهد مهاجمان برای آزاد کردن سرورها حدود 2.064921 بیت کوین (حدود 19000 دلار آمریکا) درخواست می‌کنند. DarkFeed اشاره می کند که هر یادداشت باج خواهی یک کیف پول بیت کوین متفاوت را فهرست می کند. OVHcloud در ابتدا این کمپین را به باج افزار نوادا متهم کرد، اما از آن زمان پس از آن انصراف داد و گفت: “هیچ ماده ای نمی تواند ما را وادار کند که این حمله را به هیچ گروهی نسبت دهیم.”

رویاک گفت: «بهداشت امنیتی یک مؤلفه کلیدی برای جلوگیری از حملات باج‌افزار است و سازمان‌هایی که نسخه‌های ESXi تحت تأثیر CVE-2021-21974 را اجرا می‌کنند و هنوز این وصله را اعمال نکرده‌اند، باید طبق توصیه‌ها اقدام کنند».