Được biết, cuộc tấn công đã sử dụng ransomware ESXiArgs - một mẫu mã độc mới khiến việc khôi phục các máy ảo VMware ESXi bị mã hóa trở nên khó khăn hơn nhiều, nếu không muốn nói là không thể.
Theo báo cáo sơ bộ, chiến dịch tấn công nhắm vào các máy chủ VMware ESXi - công cụ giám sát máy ảo phổ biến dành cho doanh nghiệp được phát triển bởi VMware được diễn ra từ đầu tháng 2/2023 thông qua một lỗ hổng thực thi mã từ xa tận ... 2 năm tuổi và đã có bản vá từ ngày 23 tháng 2 năm 2021.
Lỗ hổng bị khai thác có thể là CVE-2021-21974 (điểm CVSS: 8.8), một lỗi tràn bộ đệm heap trong dịch vụ OpenSLP. Bằng cách kết nối mạng với dịch vụ openSPL mở cổng 427, kẻ tấn công có thể khai thác lỗ hổng này để triển khai một phần mềm tống tiền ESXiArgs.
Đáng lưu ý, kể từ khi công bố về lỗ hổng và đưa ra bản vá cho người dùng, các phiên bản sau đó của VMware ESXi đã không còn thiết lập mở mặc định cổng 427. Tuy nhiên, vẫn có một số đơn vị do chưa cập nhật bản vá hoặc do các đơn vị cấu hình thủ công mà đến nay cổng này vẫn được mở, tạo điều kiện cho kẻ tấn công khai thác lỗ hổng.
Theo VMware, CVE-2021-21974 ảnh hưởng đến các phiên bản sau:
- Phiên bản ESXi 7.x trước ESXi70U1c-17325551
- Phiên bản ESXi 6.7.x trước ESXi670-202102401-SG
- Phiên bản ESXi 6.5.x trước ESXi650-202102101-SG
Theo thống kê của WhiteHat, sau khi truy vết theo IP của một nhóm tấn công, đã ghi nhận khoảng 1.400 máy chủ VMware ESXi trên thế giới bị mã hóa dữ liệu, trong đó tại Việt Nam có khoảng 10 đơn vị đã trở thành nạn nhân của ransomware ESXiArgs.
Để giảm thiểu nguy cơ bị tấn công bởi chiến dịch trên, WhiteHat khuyến cáo các đơn vị đang sử dụng máy chủ VMware ESXi cần:
- Nhanh chóng rà soát và cập nhật bản vá ngay lập tức.
- Nếu chưa thể cập nhật bản vá các quản trị viên cần tắt dịch vụ OpenSLP trong ESXI đồng thời thiết lập chặn IoCs IP trên Firewall:
- 104.152.52[.]55
- 193.163.125[.]138
- 43.130.10[.]173
- 104.152.52[.]10/24
- Hạn chế các dịch vụ không cần thiết của VMware public ra Internet và giới hạn các IP được phép truy cập.
- Định kỳ backup dữ liệu, tách biệt hoàn toàn dữ liệu sao lưu khỏi máy chủ VMware ESXi đang triển khai.
- Nếu không may máy chủ của đơn vị bị mã hóa dữ liệu, hãy bình tĩnh liên hệ với các đơn vị có chuyên môn để xử lý sự cố thay vì gửi tiền chuộc cho tin tặc.
Các chuyên gia WhiteHat đánh giá, hiện nay một đơn vị có thể triển khai máy chủ VMware ESXi đồng thời cho nhiều khách hàng khác nhau, do đó nguy cơ khi đơn vị đó bị tấn công sẽ ảnh hưởng đến rất nhiều khách hàng cùng lúc. Điều này cho thấy, mục tiêu tấn công đã được tin tặc lựa chọn cẩn thận để tăng tỷ lệ thành công và thu về lợi nhuận cao hơn.
Trong tương lai các hình thức tấn công tương tự sẽ còn diễn ra ngày càng nhiều, vì vậy các đơn vị đang sử dụng những nền tảng ảo hóa khác cần hết sức cẩn thận để tránh những rủi ro không đáng có.