Программы-вымогатели злоупотребляют VMWare ESXi

Группы программ-вымогателей используют продукт VMWare ESXi для шифрования виртуальных жестких дисков виртуальных машин. Эти атаки впервые были замечены в октябре 2020 года и были связаны с преступной группой, развернувшей программу-вымогатель RansomExx.

Данные нескольких исследователей безопасности предполагают, что хакеры использовали CVE-2019-5544 и CVE-2020-3992. Они находятся в VMware ESXi, решении гипервизора, которое позволяет нескольким виртуальным машинам совместно использовать хранилище на жестком диске. Эти ошибки влияют на протокол определения местоположения служб (SLP) и позволяют злоумышленнику отправлять вредоносные запросы на устройство ESXi, что приводит к полному захвату.