ИБ-эксперты продолжают предупреждать об опасности шифровальщика ESXiArgs. На этот раз специалисты Rapid7 подсчитали, что 18 581 сервер VMware ESXi по-прежнему уязвим для эксплуатации уязвимости CVE-2021-21974, которую используют хакеры.
Напомню, что тысячи серверов VMware ESXi оказались взломаны новым вымогателем ESXiArgs в начале февраля. Атакующие использовали упомянутую уязвимость двухлетней давности (CVE-2021-21974), которая позволяла им выполнять удаленные команды на уязвимых серверах через OpenSLP (порт 427). Нужно отметить, что баг давно исправлен, патч для его вышел еще в 2021 году, просто далеко не все озаботились его установкой.
При этом разработчики VMware заявляли, что хакеры точно не используют какие-либо уязвимости нулевого дня, а OpenSLP после 2021 года вообще отключен по умолчанию. То есть злоумышленники нацеливаются на продукты, которые «значительно устарели», и таковых нашлось немало. Так, по информации экспертов, взлому уже подверглись порядка 3800 организаций в США, Франции, Италии и других странах мира.
Хуже того, на прошлой неделе злоумышленники обновили ESXiArgs, устранив в своей малвари ряд недочетов, благодаря которым удавалось восстановить зашифрованные серверы VMware ESXi без выплаты выкупа.
В итоге, по данным проекта Ransomwhere, в конце прошлой недели новой версией шифровальщика были заражены 1252 сервера, и на новую версию ESXiArgs приходилось уже 83% активных заражений.
Как теперь сообщают аналитики Rapid7, успешные атаки ESXiArgs, похоже, не остались незамеченными другими злоумышленниками. Эксперты пишут, что уже наблюдают дополнительные атаки на CVE-2021-21974, которые не связаны с ESXiArgs.
«RansomExx2, это относительно новая разновидность программы-вымогателя, написанная на Rust и нацеленная на Linux, которая уже замечена в эксплуатации уязвимых серверов ESXi», — говорят в компании.
