Infizierte VMware-Server

Update: Neue EXSiArgs-Ransomware macht CISA-Skript unbrauchbar

Uhr
von René Jaun und Joël Orizet und lha, tme, yzu

Die Angreifer, die auf ESXi-Server von VMware abzielen, haben eine neue Variante der Ransomware in Umlauf gebracht. Damit verschlüsselte Daten lassen sich nicht mithilfe des Skripts der US-Behörde CISA entschlüsseln.

(Source: FLY:D / Unsplash)
(Source: FLY:D / Unsplash)

Update vom 21.2.2023: Nur wenige Tage, nachdem die US-Cybersecurity-Behörde CISA ein Skript zur Wiederherstellung von ESXi-Servern bereitgestellt hat, ist bereits eine neue Variante der Ransomware im Umlauf. Damit verschlüsselte Daten lassen sich nicht über das CISA-Skript entschlüsseln, wie Malwarebytes mitteilt. Die modifizierte Ransomware nutze eine neue Verschlüsselungsroutine, die eine Wiederherstellung der Daten nach aktuellem Kenntnisstand nahezu unmöglich mache, teilt der IT-Sicherheitsdienstleister mit. 

Bis dato seien bereits rund 3800 Server der EXSiArgs-Ransomware zum Opfer gefallen, schreibt Malwarebytes unter Berufung auf Angaben der CISA und der US-Bundespolizei FBI. 

Update vom 9.2.2023: Die US-amerikanische Behörde für Cybersicherheit (Cybersecurity and Infrastructure Security Agency, CISA) greift Administratoren der von einem Ransomware-Angriff betroffenen VMware-Server unter die Arme. Auf Github hat die Behörde ein Script veröffentlicht, welches versucht, angegriffene Server wiederherzustellen.

Das Script macht sich zu Nutze, dass die von Cyberkriminellen verbreitete Ransomware oftmals nur kleine Dateien verschlüsselt, in denen vorrangig Strukturinformationen gespeichert sind. Die grossen Files, die die wichtigen Daten der angegriffenen virtuellen Server enthalten, verschlüsselt die Malware weniger häufig, wie "Bleeping Computer" erklärt. Das Script basiert unter anderem auf der weiter unten erwähnten Anleitung von Enes Sonmez und automatisiert die dort beschriebenen Rettungsschritte.

Originalmeldung vom 7.2.2023: Cyberangriffe auf VMware-Server: Das können Systemadministratoren tun

Kriminellen Hackern ist es gelungen, innerhalb weniger Tage eine Vielzahl von IT-Systemen mit Ransomware zu infizieren. Als Einfallstor dient ihnen eine uralte Schwachstelle in ESXi-Servern von VMware. Inzwischen haben mehrere staatliche Behörden vor der Angriffswelle gewarnt, und laut dem Cybersecurity-Unternehmen Censys wurden mehr als 2400 Server mit Malware infiziert.

So erkennen Systemadministratoren eine Infektion

Systemadministratoren, die eine der verwundbaren ESXi-Serverversionen von VMware einsetzen, sollten schnellstmöglich die seit fast zwei Jahren verfügbaren Sicherheits-Patches einspielen oder zumindest mit einem von VMware beschriebenen Workaround ihr System schützen.

Doch woran erkennen Administratoren, ob ihr System befallen ist? "The Register" verweist diesbezüglich auf den französischen Hostinganbieter OVH, welcher folgende spezifische Eigenschaften nennt:

  • Der Angriff erfolgt über eine Schwachstelle in der OpenSLP-Komponente. Aus den Log-Dateien ist ersichtlich, dass der User "dcui" bei der Kompromittierung eine Rolle spielt.

  • Die Verschlüsselung erfolgt mit einem öffentlichen Schlüssel, den die Malware in der Datei "/tmp/public.pem" speichert.

  • Der Verschlüsselungsprozess zielt speziell auf Dateien virtueller Maschinen ab. Diese haben die Endungen ".vmdk", ".vmx", ".vmxf", ".vmsd", ".vmsn", ".vswp", ".vmss", ".nvram" und ".vmem".

  • Die Malware versucht, virtuelle Maschinen herunterzufahren, indem sie den VMX-Prozess abbricht, um die Dateien freizugeben. Allerdings funktioniert dies mitunter nicht wie erwartet, was dazu führt, dass die Dateien gesperrt bleiben.

  • Die Malware erstellt eine Args-Datei. Darin speichert sie Parameter, für den Verschlüsselungs-Algorithmus.

  • Laut OVH werden keine Daten exfiltriert.

  • "Bleeping Computer" ergänzt, dass die Angreifer auf attackierten Systemen Dateien mit den Namen "ransom.html" und "How to Restore Your Files.html" hinterlegen.

Angegriffene Systeme lassen sich (vielleicht) retten

Die von den Cyberkriminellen bei der laufenden Angriffswelle verbreitete Malware wurde von Cybersecurity-Experten "ESXiArgs" getauft. Wie "Bleeping Computer" unter Berufung auf einen Analysten des Unternehmens ID Ransomware schreibt, enthält der eingesetzte Verschlüsselungsalgorithmus keine bekannten Schwachstellen. Entsprechend gibt es keine Möglichkeit, ohne den Entschlüsselungs-Key einmal verschlüsselte Daten wieder zu entschlüsseln.

Einen Lichtblick offeriert jedoch Enes Sonmez. In einem Blogbeitrag erklärt er, dass die Malware oftmals nur kleine Dateien verschlüsselt. Die grossen Dateien (oft "flat.vmdk" genannt) blieben dagegen verschont. In der ESXi-Serverstruktur enthalten jedoch die grossen Dateien die in einer virtuellen Maschine gespeicherten Daten. Die kleinen Dateien, die vor allem Strukturinformationen enthalten, lassen sich mit dem Programm "vmkfstools", einiger Handarbeit und etwas Glück neu generieren. Die genauen Anweisungen finden Sie im Blogbeitrag.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
JWNvh7iq