Χιλιάδες συστήματα ηλεκτρονικών υπολογιστών παγκοσμίως εκτέθηκαν σε επίθεση ransomware στους διακομιστές VMware ESXi, σύμφωνα με την εθνική υπηρεσία κυβερνοασφάλειας της Ιταλίας, λίγες ημέρες αφότου ένας φορέας εμπορίας παραγώγων του Ηνωμένου Βασιλείου δέχθηκε παρόμοια κυβερνοεπίθεση.
Η ιταλική κυβέρνηση δήλωσε ότι η υπηρεσία κυβερνοασφάλειάς της, ACN, θα συναντηθεί με κορυφαίους αξιωματούχους τη Δευτέρα το πρωί για να αξιολογήσει την κατάσταση. Οι χώρες που επηρεάζονται από την επίθεση αυτή είναι επίσης η Γαλλία, ο Καναδάς και οι ΗΠΑ.
«Το κενό ασφαλείας που αξιοποιήθηκε από τους χάκερς υπολογίζεται ότι είναι δύο ετών και θα έπρεπε να είχε επιδιορθωθεί μέχρι τώρα, αλλά προφανώς πολλοί διακομιστές δεν προστατεύονται ακόμη», δήλωσε σε συνέντευξή του ο Stefano Zanero, τακτικός καθηγητής κυβερνοασφάλειας στην πολυτεχνική σχολή του Μιλάνου. Η Ιταλία δεν στοχοποιήθηκε συγκεκριμένα, πρόσθεσε ο Zanero.
Η συμμορία Lockbit
Το ransomware είναι ένας τύπος κακόβουλου λογισμικού που κλειδώνει τα αρχεία του «θύματος» και οι χάκερ απαιτούν πληρωμή λύτρων για να αποστείλυον ένα κλειδί κρυπτογράφησης. Η LockBit, η συμμορία που βρίσκεται πίσω από την επίθεση της περασμένης εβδομάδας στην ION Trading UK που ανέτρεψε τις συναλλαγές παραγώγων, είπε ότι έλαβε λύτρα και ξεκλείδωσε αυτά τα αρχεία. Η ION αρνήθηκε να σχολιάσει εάν καταβλήθηκαν λύτρα.
Δεν είναι σαφές εάν κάποια ομάδα έχει αναλάβει την ευθύνη για την τελευταία επίθεση. Η LockBit είναι ενεργή τουλάχιστον από τον Ιανουάριο του 2020 και έχει εισπράξει απαιτώντας λύτρα τουλάχιστον 100 εκατομμύρια δολάρια, σύμφωνα με το Υπουργείο Δικαιοσύνης των ΗΠΑ.
Σύμφωνα με δημόσιες αναφορές, μια παραλλαγή ransomware με την ονομασία ESXiArgs φαίνεται να αξιοποιεί το CVE-2021-21974, μια ευπάθεια δύο ετών για την οποία διατέθηκαν ενημερώσεις κώδικα στη συμβουλή ασφαλείας της VMware στις 23 Φεβρουαρίου 2021, σύμφωνα με εκπρόσωπο της VMware.
«Η υγιεινή ασφαλείας είναι ένα βασικό συστατικό για την αποτροπή επιθέσεων ransomware και οι πελάτες που εκτελούν εκδόσεις του ESXi που επηρεάζονται από το CVE-2021-21974 και δεν έχουν ακόμη εφαρμόσει την ενημερωμένη έκδοση κώδικα, θα πρέπει να αναλάβουν δράση σύμφωνα με τις οδηγίες», δήλωσε ο αξιωματούχος της VMware.
Μετά την επίθεση ransomware της περασμένης εβδομάδας στην ION Trading, η εταιρεία εξέδωσε μια δήλωση λέγοντας ότι η αιτία του ζητήματος ήταν ένα περιστατικό στον κυβερνοχώρο που αφορούσε διακομιστές VMware.
ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ: Μπαλάκι του «ping-pong» η αναστολή των εκποιήσεων