Son günlerde özellikle veri merkezleri zorlu bir süreç yaşıyor. VMware tarafından sanal bilgisayarların yönetimi ve dağıtımı için geliştirilen sanallaştırma çözümü VMware ESXi’de tespit edilen açık nedeniyle dünya genelinde birçok sunucuya saldırı gerçekleştirildi.
Soğuk terler döktüren bu olayın hem iyi hem de kötü tarafı bulunuyor. Sunuculara fidye yazılımı yüklemek için kullanılan bu uzaktan kod yürütme açığı iki yıl önce tespit edildi. Yani sorundan etkilenen sunucular bu güvenlik açığı için yayınlanan yamanın yüklenmediği cihazlar.
Güvenlik açığı olan VMware ESXi sunucularına saldırı!
Saldırının kurbanı olan sunucu sahipleri, forumlarda açtıkları konularda hem yardım istedi hem de saldırının detaylarını paylaştı. Söz konusu fidye yazılımı, sızdığı ESXi suncularında vmxf, .vmx, .vmdk, .vmsd ve .nvram uzantılı dosyaları şifreliyor.
Bazı kullanıcılar verilerinin çalındığını iddia ederken, saldırıdan etkilenen bir kullanıcı BleepingComputer forumlarında olayın böyle olmadığını dile getirdi;
“Araştırmamız, verilerin sızmadığını belirledi. Bizim durumumuzda, saldırıya uğrayan makinede 500 GB’ın üzerinde veri vardı, ancak tipik günlük kullanım yalnızca 2 Mbps seviyesindeydi. Son 90 günün trafik istatistiklerini inceledik ve giden veriye dair hiçbir kanıt bulamadık.”
Bunların yanı sıra fidye yazılımının bulaştığı sunucularda “ransom.html” ve “How to Restore Your Files.html” adlı dosyalar görüldü.