Ransomware-Attacke nimmt ESXi-Server unter Beschuss

Ein weltweit angelegter Ransomware-Angriff hat Tausende Server getroffen, auf denen die Virtualisierungssoftware "ESXi" von VMware läuft. Dies meldet das BSI.

Zuerst entdeckt wurde der Angriff vom französischen Computer Emergency Response Team (CERT-FR). Aktuellen Berichten zufolge wurden Server in Frankreich, Deutschland, Finnland, den USA und Kanada angegriffen – wohl keine abschließende Liste. Wie CERT-FR berichtet, wurde für den Angriff die Sicherheitslücke CVE-2021-21974 ausnutzt. Diese befindet sich im Service-Location-Protokoll und ermöglicht den Angreifern, aus der Ferne Code auszuführen. Aktuell betroffen sind die Versionen 6 bis 6.7. Auf die Attacken folgten in einigen Fällen Lösegeldforderungen. Bis zu 23.000 US-Dollar werden gefordert, meldete das Portal DarkFeed. Über verschiedene Bitcoin-Wallets solle die Transaktion erfolgen.

Administratoren wird empfohlen, auf die neueste ESXi-Version zu aktualisieren. Den Patch, der die ausgenutzte Lücke schließt, gäbe es allerdings schon seit 2021. Sicherheitsforscher rufen zudem dazu auf, System-Scans durchzuführen und den gefährdeten Port (427) im Zweifelsfall zu schließen, sofern dadurch der Betrieb nicht leide.