Szeroko zakrojony cyberatak uderza w serwery w całej Europie

Hakerzy na ogromną skalę wykorzystują znaną lukę w serwerach ESXi firmy VMware, obierając za cel punkty końcowe w całej Europie i Ameryce Północnej – zgodnie potwierdzili to funkcjonariusze rządowi i rzecznicy firm.

Włoska Narodowa Agencja Bezpieczeństwa Cybernetycznego (ACN) ostrzegła firmy korzystające z tych produktów VMware, aby natychmiast zaktualizowały swoje urządzenia i w ten sposób zabezpieczyły się przed trwającą kampanią cyberprzestępczą. ANSA (główna włoska agencja informacyjna) podała dalej, że oprócz serwerów we Włoszech, hakerzy wzięli na celownik również te znajdujące się we Francji, Finlandii, Stanach Zjednoczonych i Kanadzie. Raporty utrzymują, że „dziesiątki” organizacji we Włoszech zostały dotknięte atakiem. Agencja twierdzi, że firmy zostały ostrzeżone, aby podjąć działania „w celu uniknięcia zablokowania ich systemów”, sugerując, że napastnicy wykorzystywali lukę w ramach kampanii ransomware.

Po drugiej stronie Atlantyku amerykańscy urzędnicy zajmujący się cyberbezpieczeństwem analizowali napływające doniesienia:

„CISA współpracuje z naszymi partnerami z sektora publicznego i prywatnego, aby ocenić wpływ tych zgłoszonych incydentów i zapewnić pomoc w razie potrzeby” – Reuters cytował amerykańską agencję ds. cyberbezpieczeństwa i bezpieczeństwa infrastruktury.

Rzecznik VMware powiedział, że hakerzy nadużywali luki, która została odkryta na początku 2021 roku i została załatana w lutym tego samego roku. Firma wezwała też swoich klientów do natychmiastowego zastosowania łatki, jeśli tego do tej pory nie zrobiły.

Oddzielny raport opublikowany przez The Stack twierdzi, że do tej pory ponad 500 firm zostało dotkniętych atakiem i rzeczywiście był to atak typu ransomware. Przedsiębiorstwa we Francji są rzekomo najbardziej poszkodowane. Rządowy zespół reagowania na incydenty związane z bezpieczeństwem komputerowym w tym kraju, CERT-FR, twierdzi, że atak jest półautomatyczny, a jego celem są serwery podatne na lukę CVE-2021-21974.

Luka opisana jest jako OpenSLP HeapOverflow, co pozwala na zdalne wykonanie kodu.

Jak na razie nie wiadomo, która grupa ransomware zainicjowała atak i jaki szyfrator jest wdrażany, ale raporty mówią, że około 20 serwerów jest atakowanych co godzinę.