Massale ESXiArgs ransomware aanval op VMware ESXi Servers

Afgelopen weekend is er een dramatische toenamen aan VMware ESXi servers die geencrypt worden door een onbekende groep die zich vooral op het westen lijkt te concentreren. Op moment van schrijven zijn er volgens Shodan meer dan 800 servers getroffen.

Onlangs zijn er verschillende kritieke kwetsbaarheden ontdekt in VMware ESXi. De kwetsbaarheden, aangeduid als CVE-2022-31696, CVE-2022-31697, CVE-2022-31698 en CVE-2022-31699, kunnen mogelijk leiden tot uitvoering van externe code (RCE) op de getroffen systemen.

Deze kwetsbaarheden stellen een aanvaller in staat om willekeurige code uit te voeren op een externe host, wat kan leiden tot gegevensdiefstal en andere kwaadaardige activiteiten zoals het uitvoeren van ransomware. In sommige gevallen kan de aanvaller zelfs volledige controle krijgen over het getroffen systeem, wat een aanzienlijke impact heeft op de veiligheid en stabiliteit van de getroffen systemen.

De getroffen versies van VMware ESXi bevatten 6.7 en 6.5 en zijn reeds gepatched door VMware. Het wordt dus ook sterk aangeraden om systemen zo snel mogelijk te patchen om het risico op misbruik te verminderen. Verder is het belangrijk om best practices voor netwerkbeveiliging te volgen en alle systemen up-to-date te houden met de nieuwste beveiligingspatches en niet toegankelijk te maken voor het gehele internet.

Op twitter en bleepingcomputer.com worden diverse oplossingen worden geboden om de ESXi servers weer te herstellen zonder de ransomware som te betalen.