NAKIVO > Bloggen

ESXiArgs-Ransomware-Angriffe: Risiken und Datensicherheit

Veröffentlicht am: Februar 6, 2024

Written by: NAKIVO Team

& In der Regel greift Ransomware physische Computer und Virtuelle Maschinen an, die unter Windows laufen, seltener unter macOS und Linux. Leider entwickeln Cyberkriminelle immer wieder neue Versionen von Ransomware, die andere Betriebssysteme über neu entdeckte Schwachstellen infizieren können. Ein aktuelles Beispiel war der ESXi-Ransomware-Angriff, der VMware-Hypervisoren von ESXi-Sicherheitslücken aus traf, was zu schwerwiegenden Ausfallzeiten in Unternehmen auf der ganzen Welt führte.

Dieser Blogbeitrag erklärt, wie gefährlich Ransomware-Angriffe sind, wie Ransomware einen VMware ESXi-Host infizieren kann und wie man sich vor Ransomware schützen kann, einschließlich vor ESXi Args Ransomware.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Der Beginn einer ESXi-Ransomware-Kampagne

Die ersten Fälle von ESXi-Ransomware-Angriffen wurden im Oktober 2022 registriert, als VMware den allgemeinen Support für ESXi 6.5 und 6.7 einstellte. Eine große Anzahl von ESXi-Hosts wurde in Frankreich, Deutschland, den Vereinigten Staaten, Kanada, dem Vereinigten Königreich und anderen Ländern infiziert. Im Februar 2023 gab es mehr als 3.000 infizierte ESXi-Hosts mit verschlüsselten Daten, die nicht für die Wiederherstellung verfügbar waren. Die Namen der Ransomware, die ESXi-Hosts angegriffen hat, lauten ESXiArgs, Royal und Cl0p. Darüber hinaus tauchten neue ESXi-Ransomware-Familien auf, darunter RansomEXX, Lockbit, BlackBasta, Cheerscrypt, Hive, RedAlert/N13V und andere.

ESXi-Hosts sind für Angreifer attraktiv, da Servervirtualisierung immer beliebter wird und viele Unternehmen Virtuelle Maschinen für ihre Produktionsumgebungen einsetzen. Infolgedessen haben sich die Entwickler von Ransomware darauf konzentriert, VMware ESXi-Ransomware-Angriffe zu starten, in der Hoffnung, damit enorme Gewinne zu erzielen. Durch die Infizierung eines VMware ESXi-Hosts können Angreifer die Daten mehrerer Virtueller Maschinen, die sich auf diesem Host befinden, verschlüsseln/zerstören. Dieser Ansatz kann effektiver sein als die Infizierung von VMs, auf denen möglicherweise unterschiedliche Betriebssysteme laufen. Der ESXi Args-Ransomware-Angriff war einer der größten Ransomware-Angriffe auf Nicht-Windows-Server.

Welche ESXi-Versionen sind anfällig für ESXi-Ransomware?

ESXi-Ransomware nutzt verschiedene Schwachstellen aus, darunter CVE-2022-31699, CVE-2021-21995, CVE-2021-21974, CVE-2020-3992 und CVE-2019-5544.

ESXi Args Ransomware nutzt CVE-2021-21974, um einen ESXi-Host zu infizieren. Diese Schwachstelle wurde 2021 erkannt und kann auf ESXi-Hosts auftreten, die noch nicht gepatcht/aktualisiert wurden. Es handelt sich um eine Heap-Überlauf-Sicherheitslücke im OpenSLP-Dienst, der auf ESXi ausgeführt wird. Ein Patch für CVE-2021-21974 wurde am 21. Februar 2021 veröffentlicht.

Die folgenden ESXi-Versionen sind anfällig für CVE-2021-21974:

  • ESXi 7.x vor ESXi70U1c-17325551
  • ESXi 6.7.x vor ESXi670-202102401-SG
  • ESXi 6.5.x vor ESXi650-202102101-SG

Warum gab es so viele nicht gepatchte Server und warum waren sie über das Internet zugänglich? Das Patchen erfordert eine Ausfallzeit des ESXi-Servers, und bei einer großen Anzahl von Hosts verfügen einige Administratoren möglicherweise nicht über die Ressourcen oder die Zeit, um sie rechtzeitig zu patchen. Außerdem wurden ESXi-Schwachstellen vor dem ESXi Args-Ransomware-Angriff nicht in großem Umfang ausgenutzt. Dies schuf die Illusion, dass nicht gepatchte ESXi-Server keine Bedrohung darstellten, und die Server wurden nur langsam gepatcht.

Auch ESXi-Server, die bei Hosting-Anbietern liefen, wurden von der ESXi Args-Ransomware infiziert. Die Hosting-Anbieter stellten die Infrastruktur für ihre Kunden bereit, und die Kunden installierten ESXi-Hypervisoren, um Virtuelle Maschinen auszuführen. Diese ESXi-Server wurden von den Kunden dem Internet ausgesetzt, wodurch Angreifer Zugriff auf sie erhielten. Die Angreifer verlangten von den Opfern eine Zahlung von etwa 23.000 US-Dollar in Bitcoins.

Wie funktioniert ESXi-Ransomware?

Cyberkriminelle suchen nach anfälligen ESXi-Hosts, insbesondere solchen, die dem Internet ausgesetzt sind. Es wurde überprüft, dass die Kompromittierungsmethode eine OpenSLP-Sicherheitslücke ausnutzt, bei der es sich möglicherweise um CVE-2021-21974 handelt. Für OpenSLP wird Port 427 (TCP/UDP) verwendet. Die Protokolle weisen auf die Beteiligung des Benutzers dcui an diesem Kompromittierungsprozess hin. Diese ESXi-Ransomware-Sicherheitslücke ermöglicht es Angreifern, beliebigen Code aus der Ferne auszuführen.

Die Verschlüsselung nutzt einen von der Malware bereitgestellten öffentlichen Schlüssel, der sich unter /tmp/public.pembefindet. Dieser Prozess der Verschlüsselung zielt insbesondere auf Dateien virtueller Maschinen ab, darunter Dateitypen wie „.vmdk“, „.vmx“, „.vmxf“, „.vmsd“, „.vmsn“, „.vswp“, „.vmss“, „.nvram“ und Dateien mit der Erweiterung „.vmem“. Beachten Sie, dass „.vmdk“ eine virtuelle Festplattenbeschreibungsdatei ist und „-flat.vmdk“ ist eine virtuelle Festplattendatei die VM-Daten enthält. ESXi Args Ransomware erstellt für jede verschlüsselte Datei eine „.args„-Datei mit Metadaten (wahrscheinlich gehen die Entwickler der Ransomware davon aus, dass „.args„-Dateien für die Entschlüsselung benötigt werden).

Nachfolgend finden Sie die detaillierte Abfolge:

  1. Wenn ein Server kompromittiert wird, werden die folgenden Dateien im Verzeichnis /tmp abgelegt:
    • Verschlüsselung deaktiviert stellt den ausführbaren Verschlüsseler im ELF-Format dar.
    • encrypt.sh dient als operative Logik für den Angriff. Dies ist ein Shell-Skript, das vor dem Ausführen des Verschlüsselungsprogramms verschiedene Aktionen ausführt, wie unten beschrieben.
    • public.pem ist ein öffentlicher RSA-Schlüssel, der zum Verschlüsseln des für die Verschlüsselung der Dateien zuständigen Schlüssels verwendet wird.
    • motd ist eine Textdatei mit Lösegeldforderungen, die in /etc/motdkopiert wird, um sicherzustellen, dass sie bei der Anmeldung angezeigt wird. Die Originaldatei auf dem Server bleibt unter /etc/motd1.
    • index.html ist eine HTML-Version der Lösegeldforderung, die die Startseite von VMware ESXi ersetzen soll. Die ursprüngliche Serverdatei sollte als „index1.html“ im selben Verzeichnis gesichert werden.
  2. Der Verschlüsseler wird über ein Shell-Skript gestartet, das ihn mit einer Reihe von Befehlszeilenparametern aufruft. Diese Parameter umfassen die öffentliche RSA-Schlüsseldatei, die Zieldatei für die Verschlüsselung, Datenabschnitte, die unverändert bleiben sollen, die Verschlüsselungsblockgröße und die Gesamtgröße der Dateien.

    Verwendung: Verschlüsselung deaktiviert [] [] []

    Wo:

    • enc_step ist die Anzahl der MB, die bei der Verschlüsselung von Dateien übersprungen werden sollen
    • enc_size ist die Anzahl der MB im Verschlüsselungsblock
    • file_size ist die Größe der Datei in Byte (für spärliche Dateien)
  3. Die Initiierung dieses Verschlüsselungsprogramms erfolgt über das Shell-Skript encrypt.sh , das als zugrunde liegende Logik für den Angriff dient. Nach der Initiierung führt das Skript die folgenden Aktionen aus, die im Folgenden kurz erläutert werden.
  4. Das ESXi-Ransomware-Skript führt einen Befehl aus, um die Konfigurationsdateien der virtuellen ESXi-Maschinen (.vmx) zu ändern, indem es alle Vorkommen von „.vmdk“ und „.vswp“ durch „1.vmdk“ und „1.vswp„,
  5. Anschließend beendet das Ransomware-Skript zwangsweise alle derzeit aktiven virtuellen Maschinen, indem es den Befehl „kill -9“ ausführt, um Prozesse zu stoppen, die das Wort „vmx“ enthalten..
  6. Die Ransomware versucht, virtuelle Maschinen herunterzufahren, indem sie den VMX-Prozess beendet, um die gesperrten Dateien freizugeben und zu ändern. Diese Funktion arbeitet jedoch nicht immer wie erwartet, sodass einige Dateien weiterhin gesperrt bleiben. Nach der Änderung der VM-Dateien sind die VMs nicht mehr verwendbar.
  7. Das Skript ruft mit dem folgenden Befehl eine Liste der ESXi-Volumes ab:

    esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F' ' '{print $2}

    Mit diesem Befehl durchsucht die Ransomware diese Volumes nach Dateien mit bestimmten Dateiendungen.

  8. Für jede erkannte Datei generiert das Skript eine entsprechende [file_name].args Datei im selben Verzeichnis. Diese .args Datei enthält berechnete Parameter, darunter einen Schritt (in der Regel „1”) und die Größe der Datei. Wenn die Datei beispielsweise „VM01.vmx“, wird eine zugehörige Datei „VM01.vmx.args“ erstellt. Die Malware generiert eine „argsfile“, um Argumente zu speichern, die an die verschlüsselte Binärdatei übergeben werden. Diese enthält Informationen wie die Anzahl der zu überspringenden Megabyte, die Größe des Verschlüsselungsblocks und die Dateigröße.
  9. Das Skript verwendet dann die ausführbare Datei „Verschlüsselung“, um die Dateien basierend auf den berechneten Parametern zu verschlüsseln.
  10. Nach der Verschlüsselung ersetzt das Skript die ESXi-Datei „index.html“ und die Serverdatei „motd“ durch die oben genannten Lösegeldforderungen, wie zuvor beschrieben.

    Es gibt keine Hinweise darauf, dass Daten nach außen übertragen wurden (Datenexfiltration). In bestimmten Fällen kann die Verschlüsselung von Dateien nur teilweise erfolgreich sein, sodass das Opfer möglicherweise einen Teil der Daten wiederherstellen kann.

    Nachdem die Infektion und die Datenänderung/Verschlüsselung erfolgreich abgeschlossen waren, wurde eine Ransomware-Nachricht wie diese auf einer HTML-Seite angezeigt:

    Sicherheitswarnung! Wir haben Ihr Unternehmen erfolgreich gehackt.

    Senden Sie das Geld innerhalb von 3 Tagen, andernfalls werden wir einige Daten veröffentlichen und den Preis erhöhen.“

  11. Anschließend führt das Skript Bereinigungsaufgaben durch, darunter das Löschen von Protokollen und das Entfernen einer Python-Backdoor, die sich unter /store/packages/vmtools.pybefindet. Außerdem werden bestimmte Zeilen von bestimmten Dateien entfernt:
    • /bin/hostd-probe.sh
    • /var/spool/cron/crontabs/root
    • /etc/rc.local.d/local.sh
    • /etc/vmware/rhttpproxy/endpoints.conf

    Es wird eine kritische Meldung ausgegeben, in der Administratoren aufgefordert werden, zu überprüfen, ob die Datei „vmtools.py” auf dem ESXi-Host vorhanden ist. Wenn ja, wird eine sofortige Entfernung empfohlen.

  12. Zuletzt führt das Skript „/sbin/auto-backup.sh“ aus, um die in der Datei „/bootbank/state.tgz“ aktualisiert und SSH aktiviert.

Außerdem ist bekannt geworden, dass diese Schwachstelle zusammen mit anderen Schwachstellen in ESXi neben ESXiArgs auch von anderen Ransomware-Gruppen aktiv ausgenutzt wird.

HINWEIS: Das Verhalten der VMware ESXi-Ransomware kann sich mit aktualisierten Versionen der Ransomware und neuen Ransomware-Veröffentlichungen ändern.

So wiederholen Sie das Wiederherstellen von Daten nach einem Angriff durch die ESXi Args Ransomware

Der Verschlüsselungsmechanismus enthält keine Fehler, die eine Entschlüsselung der verschlüsselten Dateien ermöglichen würden. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat jedoch ein Skript erstellt, mit dessen Hilfe VMs wiederhergestellt werden können. Das Gute daran ist, dass VM-Dateien, einschließlich des virtuellen Festplattenbeschreibers (.vmdk), verschlüsselt sind, aber die -flat.vmdk Datei (in der VM-Daten gespeichert sind) jedoch nicht. Dadurch ist eine Wiederherstellung der VM möglich.

CISA hat ein Skript für die Wiederherstellung eingeführt, das Organisationen helfen soll, die von der ESXi Args-Ransomware betroffen sind. Diese Ransomware zielt speziell auf ESXi-Server ab, verschlüsselt deren Konfigurationsdateien und macht Virtuelle Maschinen (VMs) unbrauchbar macht. Obwohl das Tool in Zusammenarbeit mit VMware entwickelt wurde, wird es von VMware nicht direkt unterstützt. Wenn Kunden bei der Verwendung dieses Tools auf Probleme stoßen, werden sie gebeten, diese auf GitHub unter folgender Adresse zu melden: https://github.com/cisagov/ESXiArgs-Wiederherstellen/issues.

CISA ist bestrebt, Probleme umgehend zu beheben. Weitere Details zur Verwendung des Skripts finden Sie unter diesem Link.

Sie können auch ein PDF-Dokument mit Anweisungen herunterladen.

Wenn Sie Anzeichen dafür haben, dass ein ESXi-Host mit ESXi-Ransomware infiziert ist, sollten Sie die folgenden Maßnahmen in Betracht ziehen:

  • Trennen Sie den infizierten ESXi-Host vom Netzwerk.
  • Zahlen Sie kein Lösegeld. Durch die Zahlung von Lösegeld werden Cyberkriminelle belohnt und dazu angeregt, weitere Ransomware zu entwickeln, um mehr Geld zu erpressen. Wenn Sie das Lösegeld zahlen, gibt es keine Garantie dafür, dass die mit VMware ESXi-Ransomware beschädigten Dateien wiederhergestellt werden.
  • Melden Sie den Ransomware-Angriff. Die Meldung von Ransomware ist wichtig, da sie eine schnelle Reaktion, die Einhaltung gesetzlicher Vorschriften, Datensicherheit, Vertrauen, Risikominderung und kollektive Abwehr von Cyberangriffen ermöglicht. Die Meldung eines Ransomware-Angriffs ist ein grundlegender Bestandteil des Cybersicherheits-Incident-Managements. Sie hilft nicht nur einzelnen Organisationen, sich von Angriffen zu wiederherstellen, sondern trägt auch zur allgemeinen Sicherheit und Resilienz des digitalen Ökosystems bei.
  • Prüfen Sie, ob für die aktuelle Version der Ransomware Tools für die Wiederherstellung oder die Entschlüsselung verfügbar sind.
  • Wenn keine Entschlüsselungstools verfügbar sind, Wiederherstellen der Daten aus einem Backup (Sie müssen vor einem Angriff mit Ransomware ein Backup erstellt haben, um diese Methode anwenden zu können). Manchmal kann es effektiver sein, VMs aus einem Backup wiederherzustellen. Erwägen Sie eine Neuinstallation von ESXi und kopieren Sie die wiederhergestellten VMs auf diesen neuen ESXi-Host, um sicherzustellen, dass sich keine Ransomware-Infektion auf dem Host befindet, auf dem die wiederhergestellten VMs platziert sind.

So schützen Sie ESXi vor Ransomware

Befolgen Sie die folgenden Empfehlungen, um ESXi vor Ransomware zu schützen:

  • Patchen Sie Ihre ESXi-Hosts, die Schwachstellen wie CVE-2021-21974, CVE-2022-31699, CVE-2021-21995, CVE-2020-3992 und CVE-2019-5544. Wenn Ihre ESXi-Version nicht mehr unterstützt wird, sollten Sie ein Update auf eine unterstützte Hauptversion in Betracht ziehen. Wenn Sie ESXi nicht aktualisieren können, deaktivieren Sie den OpenSLP-Dienst (Service Location Protocol) auf ESXi. Das Deaktivieren eines Dienstes, der eine Schwachstelle für die betroffene ESXi-Version aufweist, ist ebenfalls hilfreich.
  • Installieren Sie regelmäßig Sicherheitspatches (Updates) auf dem ESXi-Host, um sich vor den neuesten Bedrohungen zu schützen.
  • Setzen Sie ESXi-Hosts nicht dem Internet aus. Wenn der Arbeitsprozess erfordert, dass ESXi-Hosts für Mitarbeiter und Partner über das Internet zugänglich sind, konfigurieren Sie einen VPN-Server und eine Firewall. Konfigurieren Sie die Firewall so, dass nur Zugriffe von vertrauenswürdigen IP-Adressen zugelassen werden. In diesem Fall ist die Verbindung zum Netzwerk über VPN für den Zugriff auf ESXi-Hosts sicher.
  • Deaktivieren Sie den SSH-Zugriff, wenn dieser nicht benötigt wird, oder legen Sie Zeitlimits fest.
  • Deaktivieren Sie SMB v1.0 und andere alte Versionen der Protokolle, insbesondere wenn diese nicht verwendet werden.
  • Verwenden Sie Netzwerksegmentierung für Netzwerke, einschließlich des ESXi-Verwaltungsnetzwerks.
  • Verwenden Sie sichere Passwörter mit mindestens 8 Zeichen, darunter Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen.
  • Installieren und konfigurieren Sie Infrastrukturüberwachung , um den Netzwerkverkehr und die Serverauslastung zu überwachen. Durch die überwachten Workloads können Sie verdächtige oder böswillige Aktivitäten rechtzeitig erkennen.
  • Informieren Sie die Benutzer über den Schutz vor Ransomware und stellen Sie sicher, dass sie wissen, was zu tun ist, wenn sie einen Ransomware-Angriff oder einen Angriffsversuch vermuten.
  • Konfigurieren Sie Anti-Malware-E-Mail-Schutz , da das Versenden bösartiger Links oder Dateien per E-Mail eine beliebte Methode ist, um Computer mit Ransomware zu infizieren. Deaktivieren Sie aktive Hyperlinks in E-Mail-Nachrichten.
  • Installieren Sie Antivirenprogramme auf den Computern und Servern der Benutzer. Aktualisieren Sie regelmäßig die Antiviren-Datenbanken für Antiviren-Software.
  • Sichern Sie Ihre virtuellen Maschinen regelmäßig und verwenden Sie die 3-2-1-Sicherungsstrategie. Vergessen Sie nicht, ein Backup der virtuellen Maschinen zu erstellen, das unveränderlich ist und auf einem air-gapped-System abgelegt wird, um sicherzustellen, dass dieses Backup im Falle eines Ransomware-Angriffs nicht beeinträchtigt wird. Mit einem Backup, das auf einer basiert, wird sichergestellt, dass dieses Backup im Falle eines Ransomware-Angriffs nicht beeinträchtigt wird. ESXi-Backup und vCenter-Backup kann Ihnen Zeit beim Wiederherstellen von Daten und Workloads sparen.
  • Erstellen Sie einen Plan für die Reaktion auf Vorfälle und informieren Sie alle Beteiligten darüber, was im Falle eines ESXi-Ransomware-Angriffs zu tun ist.
  • Erstellen Sie einen Plan für die Disaster Recovery , um sicherzustellen, dass Sie Daten wiederherstellen und Workloads in verschiedenen Szenarien wiederherstellen können. Backup-Tests und Disaster Recovery-Tests sind wichtig.

Fazit

ESXi-Ransomware kann verheerende Folgen haben, da Sie viele VMs verlieren können, selbst wenn nur ein ESXi-Host infiziert wird. Datenbackups sind die effektivste Strategie, um Datenverluste im Falle von Ransomware-Angriffen zu vermeiden. Befolgen Sie die oben in diesem Blogbeitrag beschriebenen Empfehlungen zum Schutz von ESXi vor Ransomware. Verwenden Sie NAKIVO Backup & Replikation, um VMs auf VMware ESXi-Hosts in unveränderlichen Repositorys zu sichern. Auf diese Weise können Sie diese ransomware-resistenten Backups für schnelle Wiederherstellung vollständiger VMs oder Anwendungsdaten verwenden.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Empfohlene Artikel

Picture
Einrichten eines Office 365 SMTP-Relays mit TLS-Konnektoren
Picture
Failover vs. Failback: Die wichtigsten Unterschiede bei der Disaster Recovery
Picture
Wie kann man Linux auf Hyper-V ausführen?