Das Wiederherstellungsskript, das zum Mittwoch dieser Woche von der US-amerikanischen Cyber-Sicherheitsbehörde CISA bereitgestellt wurde, verliert seine Wirkung. Damit ließen sich zum Teil VMs auf VMware ESXi-Server retten, die von der ESXiArgs genannten Angriffswelle betroffen sind. Nun haben die Kriminellen ihre Skripte angepasst und verschlüsseln kompromittierte Maschinen gründlicher.

Die Cyberkriminellen hinter der ESXiArgs-Angriffswelle haben das bösartige Skript zum Verschlüsseln der virtuellen Maschinen auf infiltrierten VMware-Systemen angepasst, wie Bleepingcomputer berichtet. Jetzt werden nicht nur kleine Bruchstücke verschlüsselt, sondern wesentlich umfangreicher die Dateien von virtuelle Maschinen. Das hat zur Folge, dass die Reparaturmethode, die das CISA-Wiederherstellungsskript automatisiert, nicht mehr funktioniert.

Angeblich hatte der mit der neuen Malware-Version infizierte Server den (Open-)SLP-Dienst deaktiviert, wie von VMware als Gegenmaßnahme empfohlen. Ob die Angreifer auf weitere Schwachstellen in VMware abzielen, ist noch nicht bekannt.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE