toename van besmette Nederlandse VMware ESXi-servers

[Captain Kirk]

De afgelopen dagen zijn honderden VMware ESXi-servers besmet geraakt met ransomware, waaronder zo'n dertig in Nederland. Dat meldt securitybedrijf Censys op basis van eigen onderzoek. Hoe de aanvallers toegang weten te krijgen is nog altijd onbekend. De afgelopen weken werd vaak gesteld dat de aanvallers gebruikmaakten van een kwetsbaarheid aangeduid als CVE-2021-21974, maar dat is volgens VMware niet bevestigd.

In totaal detecteerde Censys de afgelopen dagen vijfhonderd nieuw besmette ESXi-servers. "De plotselinge toename van aanvallen is met name interessant, omdat de meeste van deze nieuw besmette hosts zich bevinden in Frankrijk, Duitsland, Nederland en het Verenigd Koninkrijk", aldus Censys. In Nederland gaat het om 28 machines. Het securitybedrijf stelt verder aanwijzingen te hebben gevonden dat de huidige ransomware-aanvallen zijn vooraf gegaan door een eerdere aanval in oktober vorig jaar.

Het is nog altijd onduidelijk hoe de aanvallers weten toe te slaan. Eerder liet VMware weten dat de aanvallers geen gebruik van een onbekende kwetsbaarheid maken. Welk beveiligingslek dan wel kan het bedrijf niet zeggen. VMware krijgt bijval van securitybedrijf GreyNoise, dat ook stelt dat de aanvalsvector op dit moment nog onbekend is en er mogelijk meerdere kandidaten zijn.

ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Begin februari werden ESXi-servers wereldwijd het doelwit van een ransomware-aanval. Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden.

 

bron: https://www.security.nl