Servidores VMware ESXi são alvo de uma nova onda de ataques projetados para implantar ransomware em sistemas comprometidos. Essas campanhas de ataque exploram o CVE-2021-21974, para o qual um patch está disponível desde 23 de fevereiro de 2021.

A VMware, em seu próprio alerta divulgado na época, descreveu o problema como uma vulnerabilidade no OpenSLP que poderia levar à execução de código arbitrário.

Um ator mal-intencionado residindo na mesma rede que o ESXi e com acesso à porta 427 pode desencadear o problema de estouro de heap no serviço OpenSLP, resultando na execução remota de código.

O provedor francês de serviços em nuvem OVHcloud disse que os ataques estão sendo detectados globalmente. Suspeita-se que as invasões estejam relacionadas a uma nova variedade de ransomware baseada em Rust chamada Nevada, que surgiu em dezembro de 2022.

Recomenda-se que os usuários atualizem para a versão mais recente do ESXi para mitigar possíveis ameaças, bem como restringir o acesso ao serviço OpenSLP a endereços IP confiáveis.

A versão Linux/VMware ESXi do ransomware usa o mesmo algoritmo de criptografia (Salsa20) que a variante do Windows. Ele depende de uma variável constante, uma abordagem vista anteriormente no ransomware Petya.

O criptografador Linux segue o mesmo sistema de criptografia intermitente, criptografando totalmente apenas arquivos menores que 512 KB.