Ransomware-aanvallers zijn er in geslaagd tientallen Nederlandse servers met VMware ESXi te hacken. Censys, een scanner van kwetsbaarheden, registreerde vanmorgen 63 getroffen systemen uit Nederland. Daaronder bevinden zich ook systemen die draaien bij het Nederlandse Leaseweb.
Maar de aantallen lopen op. Volgens Pieter Jansen, senior vice president bij Darktrace, zijn al 78 systemen door cybercriminelen overgenomen. ‘In de praktijk zullen dat er meer zijn omdat van niet alle systemen van buitenaf zichtbaar is of ze niet zijn gehackt.’ Hij verwacht dat in Nederland meer slachtoffers zullen vallen. Het aantal servers waarop VMware ESXi draait en dat met internet is verbonden, zit ver boven de tweeduizend. Een beperkt deel daarvan is gepatcht. Wanneer dat niet is gebeurd, zullen bedrijven veelal te laat zijn met het leggen van noodverbanden.
Bij datacenterexploitant Leaseweb zijn er ook getroffen systemen. Maar, benadrukt het bedrijf, het betreft niet de door Leaseweb gemanagede systemen maar om sommige systemen die klanten in een serverruimte zelf hosten. ‘Die zijn niet gepatcht en daardoor getroffen’, laat Leaseweb weten in een verklaring.
Het tempo waarin systemen worden aangevallen, ligt namelijk hoog. Niet alleen de ransomware-aanvallers van het eerste uur maar ook concurrerende groepen van cybercriminelen duiken op de kwetsbaarheden. Jansen spreekt van een ratrace waarbij rivaliserende bendes massaal op systemen jagen. Ze proberen als eerste een systeem over te nemen en dicht te zetten. Vervolgens vragen de criminelen om losgeld.
Jansen: ‘Hun techniek is dezelfde als uit het verleden. Maar tactisch zijn de aanvallers gevaarlijker geworden. Ze kunnen sneller in actie komen door het gebruik van meer tools. Ook worden de aanvallen meer geautomatiseerd dan voorheen.’ Jansen spreekt van computersnelheid. ‘Met mensen is daar niet tegen te verdedigen. Automatisering is noodzakelijk.
Frankrijk
De aanval waarvoor afgelopen weekeinde al werd gewaarschuwd, richt zich met name op Frankrijk waar 738 systemen uitgeschakeld werden. Vooral het Franse cloudbedrijf OVHcloud heeft de handen vol aan problemen bij klanten, zo blijkt uit cijfers van Censys. In Duitsland zijn enkele honderden servers getroffen, zo meldt BSI, de Duitse tegenhanger van het NCSC. Censys komt in totaal tot 2.500 gehackte servers. Cyberbeveiliger Shodan telde er meer dan 1.600.
Jansen is niet verbaasd dat Frankrijk, Duitsland en ook de VS het meest zijn getroffen. Daar staan ook de meeste servers met ESXi. Ook is het logisch dat een hypervisor als ESXi, waarmee servers zijn te virtualiseren, een gewild doelwit is. Dat is een kritiek component binnen organisaties waar een groot deel van de infrastructuur op draait. Als je die weet te ‘raken’, kan de impact groot zijn. Overigens zijn nog geen gevallen bekend van bedrijven die als gevolg van de aanval helemaal plat zijn gegaan of in hun productie zijn getroffen.
Patch
Volgens VMware gaat het niet om een nieuw ontdekt lek. Daar zijn althans geen aanwijzingen voor. Voor de kwetsbaarheid in ESXi (Elastic Sky X integrated) is in februari 2021 een patch beschikbaar gekomen. VMware raadt aan om actuele versies van vSphere-componenten te installeren. Daarnaast adviseert het bedrijf de OpenSLP-dienst in ESXi buiten bedrijf te stellen.
Dat de kwetsbaarheid pas twee jaar later massaal wordt aangevallen, verklaart Jansen uit het beschikbaar komen van nieuwe exploits, software-code waarmee de kwetsbaarheid is te misbruiken. De eerste exploits werden weinig gebruikt en waren ook niet erg effectief. Nieuwe exploits blijken dat wel. En als criminelen zien dat die werken, volgen al gauw anderen.
Blijft de vraag waarom de kwetsbaarheid niet overal is gepatcht. Jansen benadrukt dat zoveel kwetsbaarheden worden ontdekt dat security-mensen eenvoudigweg niet de tijd hebben alles te patchen. Belangrijk is een juiste risico-inschatting. Uiteraard moeten systemen waar bedrijven van afhankelijk zijn, voorrang krijgen. Probleem is dat veel bedrijven niet weten welke systemen aan internet hangen. Bij een ransomware-aanval worden uit voorzorgsmaatregel vaak servers van internet ontkoppeld. Maar bij het afsluiten van internet worden sommige systemen over het hoofd gezien. Daarom ontwikkelde Jansen bij zijn vorige bedrijf Cybersprint, dat inmiddels is overgenomen door Darktrace, software die van buitenaf inzicht geeft in het aanvals-oppervlakte.
Inmiddels is ook duidelijker geworden wie er achter de ransomware-aanvallen op ESXi zitten. Jansen heeft de indruk dat twee vrij nieuwe groepen mogelijk de aanvallen leiden, namelijk Nevada en de Royal Ransomware Groep. De laatste groep geldt als een afsplitsing van het beruchte Conti uit Rusland.
