Ransomware ist ein äußerst unerfreuliches Phänomen: Über Sicherheitslücken verschaffen sich Kriminelle Zugriff auf die Server von Firmen und Organisationen, nur um dort dann alle Daten so zu verschlüsseln, dass die Betreiber selbst keinen Zugriff mehr darauf haben. Diesen gibt es erst wieder, wenn ein Lösegeld gezahlt wird, in letzter Zeit wird auch immer öfter mit der Veröffentlichung der Daten gedroht.

Das ist ein äußerst einträgliches Geschäft. Denn auch wenn Behörden und Sicherheitsexperten seit Jahren explizit davon abraten, zahlen viele der Opfer. Zu groß ist die Angst vor der Veröffentlichung sensibler Daten, gerade bei großen Unternehmen kann zudem die Störung des Betriebs schnell mal mehr kosten, als die Kriminellen für das Entsperren der Daten verlangen.

Eine neue Angriffswelle

Insofern darf es nicht verwundern, wenn Sicherheitsexperten nun vor einer neuen Welle an Ransomware-Attacken warnen. In den vergangenen Tagen sollen tausende Server weltweit über dieselbe Sicherheitslücke übernommen und verschlüsselt worden sein – all das natürlich mit folgender Erpressungsnachricht.

Eine Warnung kommt dabei aus Italien, wo es offenbar besonders viele Unternehmen erwischt hat. Hatte man sich in Hinblick auf Details zurückhaltend gegeben, spricht Roberto Baldoni, Generaldirektor der italienischen Cybersicherheitsbehörde ACN, mittlerweile Klartext.

Eine Lücke in der von vielen Firmen verwendeten Virtualisierungslösung VMware ESXi ist es, die hier ausgenutzt wird. Über diese hätten bisher unbekannte Angreifer in den vergangenen Tagen auch zahlreiche Server in anderen Ländern wie Frankreich, Finnland oder auch Kanada und den USA übernommen.

Altbekannt

Tatsächlich warnte auch das französische CERT bereits am Freitag vor Angriffen gegen eine Lücke in der entsprechenden Software. Ein Blick darauf offenbart dann zweierlei: Einerseits ist der Softwarefehler tatsächlich äußerst gefährlich, er kommt auf einen CVSS-Score von 8,8 auf einer bis zehn reichenden Skala. Vor allem aber ist er nicht neu.

Der betreffende Bug wurde bereits im Februar 2021 öffentlich, kurz danach bot der Hersteller bereits passende Updates zum Bereinigen der Lücke an. Anders gesagt: Wen es jetzt erwischt, der hat seine ESXi-Instanz schon länger nicht mehr aktualisiert – und das ist aus einer Sicherheitsperspektive natürlich grob fahrlässig. Zumal auch bereits seit fast zwei Jahren fixfertige Exploits – also Codes, über die die betreffende Lücke ausgenutzt werden kann – kursieren.

Update, Update, Update

Insofern ist auch der Ratschlag für Serverbetreiber ein logischer: Wer die entsprechende Software von VMware im Einsatz hat, sollte dringend überprüfen, ob dabei auch die aktuellste Version mit sämtlichen Sicherheitsbereinigungen läuft, und wenn das nicht der Fall ist, umgehend nachbessern. (apo, 6.2.2023)