beebright - stock.adobe.com
ESXiArgs-Angriff: Neue Ransomware-Variante im Umlauf
Eine neue Version von ESXiArgs wird derzeit in großen Mengen verteilt. Sie versucht, die für die Vorgängerversion etablierten Wiederherstellungsmethoden außer Kraft zu setzen.
Wie unsere Kollegen von Bleeping Computer berichten, wird derzeit eine neue Version der Ransomware ESXiArgs von den Urhebern der Kampagne verteilt, die seit fast einer Woche auf einigen VMware ESXi-Servern, die direkt über das Internet erreichbar sind, ihr Unwesen treibt (siehe auch Ransomware: Weltweite Angriffe auf VMware ESXi-Server). VMware-ESXi-Server, die bereits in der ersten Welle von Cyberangriffen am 3. Februar 2023 betroffen waren, sind vor einer erneuten Infektion nicht sicher.
Diese neue Version stützt sich auf ein verändertes Skript zur Ausführung der Verschlüsselungskomponente: Das neue Shell-Skript wurde angepasst, um die entdeckten - und unter anderem von der CISA (Cybersecurity and Infrastructure Security Agency, USA) automatisierten - Methoden zur Wiederherstellung betroffener Daten hinfällig zu machen.
Die Lösegeldforderung, die in dieser neuen Version von ESXiArgs angezeigt wird, enthält keine Zahlungsadresse mehr: Diese wird erst nach Kontaktaufnahme mit dem Angreifer über den verschlüsselten Instant Messenger Tox angegeben. Die ID des Angreifers blieb unverändert.
Die spezialisierte Suchmaschine Onyphe beobachtete am 8. Februar 2023, kurz nach 17 Uhr, zum ersten Mal die neue Lösegeldforderung auf einem kompromittierten Server, der bei LeaseWeb in den Niederlanden gehostet wurde. Eine Minute später wurde ein zweiter bei ScaleWay entdeckt. Onyphe zählte am Morgen des 9. Februar mehr als 130 Server, die von diesem Neustart der Cyberangriffskampagne betroffen sind, davon mehr als 25 bei OVHcloud.
Laut den Daten von Shodan, die Jack Cable von der CISA, analysiert hat, zeigten mittlerweile fast 900 IP-Adressen weltweit die neue Lösegeldforderung an. Vor allem aber handelt es sich bei 90 Prozent dieser Adressen um Neuinfektionen. Auf Servern also, die nach der ersten Welle am 3. Februar wahrscheinlich nicht isoliert worden waren.
Neue Berichte in den Bleeping-Computing-Foren zeigen Opfer, bei denen der OpenSLP-Dienst nicht aktiv war, was den Verdacht aufkommen lässt, dass entweder eine andere als die ursprünglich hauptsächlich angenommene Sicherheitslücke ausgenutzt wurde oder dass die ursprüngliche Kompromittierung lange vor dem Ausbruch der ESXiArgs-Kampagne stattfand.
Dies bestätigt die Vermutung, dass es sich um eine längerfristige Operation handelt, bei der möglicherweise eine früher abgelegte Backdoor zum Einsatz kommt. Betreiber von ESXi-Servern, die direkt im Internet erreichbar sind und noch nicht von ESXiArgs betroffen sind, sollten sehr vorsichtig sein.
