“RansomExx”勒索软件背后的组织利用VMWare ESXi产品的漏洞进行攻击

2021年2月2日，美国网络安全媒体ZDNet发布报告称，发现名为“RansomExx”的勒索软件背后的组织利用VMWare ESXi产品的漏洞CVE-2019-5544和CVE-2020-3992针对部署在企业环境中的虚拟机进行攻击，对其虚拟硬盘进行加密。 此次攻击活动于2020年10月被首次发现，“RansomExx”勒索软件（又名“Defray777”）背后的组织在攻击活动中使用了CVE-2019-5544和CVE-2020-3992漏洞。这两个漏洞都是存在于 VMware ESXi中的远程代码执行漏洞，攻击者将恶意的SLP（服务定位协议）请求发送到ESXi设备并对其进行控制。攻击活动中，攻击者首先入侵受害者公司的一台设备，并以该设备为初始入口攻击本地ESXi虚拟机并加密其虚拟硬盘。由于ESXi虚拟磁盘通常用于集中来自多个其他系统的数据，被攻击的虚拟机存储了来自多个虚拟机的数据，因此此次攻击对该公司造成了较大影响。 2021年1月27日，“BabukLocker”勒索软件的开发者也声称可以加密VMware ESXi工作站。分析人员称，今后可能会有更多的勒索软件组织利用漏洞针对VMware ESXi的产品进行攻击。由于虚拟化平台的资源集约化程度高，攻击者一旦攻击成功，可能造成更多的受害者数量和更大的损失规模。建议我国VMware ESXi用户采取以下措施予以防范，一是及时安装VMware ESXi补丁程序，并将程序更新到最新版本；二是除非必要情况，禁用SLP协议；三是不在可连接互联网的设备中存储和处理重要文件。同时建议我国虚拟化平台用户密切注意相关产品漏洞情况并及时修复，并做好离线数据备份。