Zatímco první útok probíhal z venku, tohle je záležitostí útoku zevnitř kompromitované firemní sítě (ač technicky může být veden i z internetu). Ransomware ESXiArgs využívá dva roky staré, dávno záplatované zranitelnosti, motající se okolo služby SLP – Service Location Protocol, vedené jako CVE-2021-21974.
Nicméně i po dvou letech je v oběhu spousta nezáplatovaných ESXi serverů v těchto verzích:
ESXi 7.x do ESXi70U1c-17325551
ESXi 6.5.x do to ESXi650-202102101-SG
ESXi 6.7.x do ESXi670-202102401-SG
Jakmile se ransomware na hypervisor ESXi dostane, zůstávají oči pro pláč… Pak to totiž není pouze o zašifrování dat, ale o zašifrování kompletních virtuálních serverů. Tj. kromě ztráty dat to znamená i nefunkčnost samotných serverů!
Zdroj: viry.cz