Nhóm ứng phó khẩn cấp máy tính (CERT) của Pháp cho biết: “Các chiến dịch tấn công này dường như khai thác lỗ hổng CVE-2021-21974, đã có bản vá từ ngày 23/2/2021”.
Nhà cung cấp dịch vụ ảo hóa lưu ý: “Một tác nhân độc hại nằm trong cùng một phân đoạn mạng với ESXi có quyền truy cập vào cổng 427, có thể kích hoạt sự cố tràn bộ nhớ trong dịch vụ OpenSLP dẫn đến thực thi mã từ xa”.
Nhà cung cấp dịch vụ đám mây của Pháp OVHcloud cho biết, các cuộc tấn công đang được phát hiện trên toàn cầu và chủ yếu nhắm vào châu Âu. Người ta nghi ngờ rằng các vụ xâm phạm có liên quan đến một chủng ransomware mới dựa trên Rust có tên là Nevada xuất hiện vào tháng 12/2022.
Các dòng ransomware khác được biết là đã sử dụng Rust trong những tháng gần đây bao gồm BlackCat, Hive, Luna, Nokoyawa, RansomExx và Agenda.
Các tác nhân đang mời cả các bên sử dụng tiếng Nga và tiếng Anh cộng tác với một số lượng lớn một số nhà môi giới truy cập ban đầu (IABs) trên web đen.
Đáng chú ý, nhóm đứng sau ransomware Nevada cũng đang tự mua quyền truy cập đã bị xâm phạm, nhóm này có một nhóm chuyên trách việc hậu khai thác và tiến hành xâm nhập mạng vào các mục tiêu mà chúng quan tâm.
Tuy nhiên, theo báo cáo của Bleeping Computer, các ghi chú đòi tiền chuộc trong các cuộc tấn công không có điểm tương đồng với phần mềm tống tiền Nevada, thêm vào đó, chủng này đang được theo dõi dưới tên ESXiArgs.
Người dùng được khuyến nghị nâng cấp lên phiên bản ESXi mới nhất để giảm thiểu các mối đe dọa tiềm ẩn cũng như hạn chế quyền truy cập vào dịch vụ OpenSLP đối với các địa chỉ IP đáng tin cậy./.