מנהלי IT, ספקי אחסון וצוות תגובת החירום הצרפתי (CERT-FR) מזהירים מפני האקרים המכוונים מתקפות סייבר באופן פעיל לשרתי VMware ESXi ברחבי העולם. מתקפת הסייבר מנצלת פגיעות ביצוע קוד מרחוק ומפעילה את הכופרה ESXiArgs. פגם האבטחה נגרם כתוצאה מבעייה בשירות OpenSLP אשר יכולה להיות מנוצלת על ידי האקרים במתקפות סייבר במורכבות נמוכה.
CERT-FR מציינים כי בעיה זו תוקנה כבר ב- 23 בפברואר 2021 וכי המערכות עליהן מתמקדות מתקפות הסייבר הינן ESXi hypervisors בגירסאות 6.x עד 6.7. כדי לחסום את מתקפות הסייבר, על מנהלי IT להשבית את שירות פרוטוקול שירות מיקום (SLP) הפגיע במערכות ESXi hypervisors שעדיין לא עודכנו. CERT-FR ממליצה להחיל את התיקון בהקדם האפשרי, אך מוסיפה כי יש לסרוק גם מערכות שנותרו ללא תיקון כדי לחפש סימני פריצה.
גם ספקית הענן הצרפתית OVHcloud פרסמה דוח הקושר לטענתה את גל מתקפות הסייבר העצום הזה המכוון לשרתי VMware ESXi, עם פעולת כופרה בשם Nevada: "לפי מומחי סייבר, ככל הנראה קשורה מתקפת הכופרה המסיבית על שרתי VMware ESXi לכופרה של Nevada, כאשר ההאקרים משתמשים בפגם האבטחה ב- OpenSLP כווקטור פריצה. החקירה עדיין נמשכת כדי לאשר את ההנחות הללו". "המתקפה מכוונת בעיקר לשרתי ESXi בגרסה הקודמת ל- 7.0 U3i, ככל הנראה דרך יציאת OpenSLP (427)."
על פי חיפוש ב- Shodan (מנוע חיפוש מקוון המאפשר למצוא התקנים המחוברים לרשת האינטרנט בעזרת פילטרים שונים), כבר נפגעו לפחות 120 שרתי VMware ESXi ברחבי העולם ממתקפת כופרה זו. עם זאת, מדרישות הכופר שנצפו במתקפה זו, נראה שהן אינם קשורות לכופרת Nevada ונראה שמדובר במשפחת כופרות חדשה.
קורבנות שהושפעו ממתקפת הסייבר החלו לדווח על המתקפות בפורום אתר BleepingComputer, בבקשה לעזרה ומידע כיצד לשחזר את הנתונים שלהם. הכופרה מצפינה קבצים עם הסיומות .vmxf, .vmx, .vmdk, .vmsd ו- .nvram בשרתי ESXi שנפגעו ויוצרת קובץ .args עבור כל מסמך מוצפן עם מטא נתונים. בעוד שההאקרים מאחורי המתקפה טוענים שהם גנבו נתונים, דיווח קורבן אחד בפורום אתר BleepingComputer שזה לא היה המקרה באירוע שלו, בו לא נמצאה עדות לתעבורת נתונים החוצה מהמערכות שלו. קורבנות דיווחו כי מצאו גם הודעות כופר בקבצים ששמם "ransom.html" ו- "How to Restore Your Files.html" במערכות המחשוב שלהם שננעלו. אחרים דיווח שמצאו הודעות כופר בקבצי טקסט רגיל.
