Beheer

Security
inlog

Ransomware neemt kwetsbaar VMware op de korrel

Gelekte logins benut om via VMware-gaten virtuele machines te versleutelen.

1 maart 2021

Gelekte logins benut om via VMware-gaten virtuele machines te versleutelen.

Digitale afpersers hebben twee stammen van ransomware voorzien van updates om virtuele machines te kunnen gijzelen. De aanval is gericht op VMware's ESXi-hypervisor waar met uitgelekte inloggegevens en kwestsbaarheden in de virtualisatiesoftware zelf de daarop draaiende virtuele machines zijn te versleutelen.

De waarschuwing voor deze nieuwe doelwitten komt van securityleverancier CrowdStrike. Onderzoekers van die firma hebben de ransomware-stammen Carbon Spider en Sprite Spider gedetecteerd die nu voorzien zijn van specifieke 'VMware-mogelijkheden'. De ESXi-software van die leverancier is niet direct toegankelijk voor uitvoerders van deze ransomware, maar zij blijken gebruik te maken van uitgelekte of gestolen inloggegevens voor die virtualisatiesoftware.

Eenmaal ingelogd valt er gebruik te maken van kritieke kwetsbaarheden die vorige week bekend zijn gemaakt. Patches daarvoor zijn al wel beschikbaar, maar het is de vraag of beheerders bij alle VMware-klanten die al hebben geïnstalleerd.

Mikken op Linux

CrowdStrike merkt op dat de cybercriminele bendes achter Carbon Spider en Sprite Spider sinds de tweede helft van afgelopen jaar meer en meer Linux op de korrel nemen. Daarmee weten ze ook ESXi te bereiken, wat zelf niet op Linux draait maar wat wel bepaalde Linux-software kan uitvoeren. ESXi is een zogeheten bare metal hypervisor die dus direct op de hardware draait; zónder onderliggend besturingssysteem zoals Linux of Windows.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.