VMware ESXi durch einen Ransomware-Angriff verschlüsselt
1️⃣ Symptome einer ESXi-Ransomware-Infektion
Wenn ein VMware-ESXi-Hypervisor von Ransomware infiziert wird, treten mehrere auffällige Anzeichen auf:- Verschlüsselung der VMDK-Dateien
- Die gehosteten virtuellen Maschinen (VMs) sind betroffen, da die VMDK-Dateien (Virtual Machine Disk), welche die virtuellen Festplatten enthalten, verschlüsselt werden.
- Die Dateien behalten manchmal ihren Namen, aber die Erweiterung kann durch die Malware geändert werden, z. B. .vmdk.locked, .vmdk.anubis, .vmdk.enc.
- Dateigröße oft unverändert, aber Inhalt unlesbar.
- Lösegeldnotizen im Datastore
- Vorhandensein von Text- oder HTML-Dateien in den ESXi-Datastores, die auf den Angriff und die geforderte Zahlung hinweisen.
- Unerreichbarkeit der VMs
- VM-Startversuche schlagen fehl.
- Häufige Fehlermeldungen in vSphere: „Cannot open the disk“, „VMware cannot access the virtual disk“ oder „file is encrypted“.
- Änderung oder Löschung von Snapshots
- Fortgeschrittene Ransomware-Varianten löschen oder verschlüsseln Snapshots (.vmsn, .vmsd), um eine schnelle Wiederherstellung zu verhindern.
2️⃣ Auswirkungen auf VMDK-Dateien
Die VMDK-Datei ist das Herzstück einer virtuellen Maschine. Die Auswirkungen hängen vom jeweiligen Ransomware-Typ ab :| Art der Auswirkung | Beschreibung |
| Vollständige Verschlüsselung | Die Daten der VM sind komplett verschlüsselt, wodurch das virtuelle System unbrauchbar wird. |
| Teilweise Verschlüsselung | Nur bestimmte Bereiche der VMDK werden verschlüsselt, manchmal erkennbar an der Größe der veränderten Blöcke. |
| Zerstörung von Metadaten | Der VMDK-Header oder der Descriptor (VMDK-Datei) wird verändert oder gelöscht, was das Öffnen verhindert, selbst wenn die Datenblöcke intakt sind. |
| Löschen von Snapshots | vSphere-Wiederherstellungspunkte gehen verloren, wodurch eine schnelle Wiederherstellung unmöglich wird. |
- Ohne spezialisierte Eingriffe ist ein Start der betroffenen VM unmöglich.
- Standardwerkzeuge zur ESXi-Wiederherstellung scheitern, wenn der VMDK-Header beschädigt ist oder die Verschlüsselung stark ist.
- Nicht isolierte Backups (NAS, über das Netzwerk verbundene Datastores) können ebenfalls verschlüsselt werden, wenn sie vom kompromittierten ESXi aus erreichbar sind.
3️⃣ Auswirkungen auf die Datenwiederherstellung
Die Wiederherstellung hängt von mehreren Faktoren ab :- Integrität der VMDK
- Wenn die VMDK vollständig mit einem robusten Algorithmus (AES-256 oder ECIES) verschlüsselt wurde, ist eine direkte Wiederherstellung ohne Schlüssel nahezu unmöglich.
- Wenn nur der Header oder der Descriptor betroffen ist, kann die VMDK rekonstruiert und die VM wiederhergestellt werden.
- Art des Datastores
- VMFS auf lokalem Datenträger oder SAN : schnellere Wiederherstellung, da die Blöcke lokalisiert und zugänglich sind.
- NFS / NAS : die Verschlüsselung des Datastores betrifft alle darauf gespeicherten VM-Dateien, was die Wiederherstellung deutlich erschwert.
- Wiederherstellungswerkzeuge
- Klassische Tools wie Veeam / ESXi Recovery können scheitern, wenn der Header beschädigt ist.
4️⃣Unmittelbare Empfehlungen nach dem Angriff
- Den ESXi vom Netzwerk isolieren, um eine Ausbreitung auf andere Hypervisoren oder NAS-Systeme zu verhindern.
- Die verschlüsselten VMs nicht neu starten, um zusätzliche Schreibvorgänge auf dem Datenträger zu vermeiden.
- Den Ransomware-Typ identifizieren, sofern möglich (Dateierweiterungen, Lösegeldnote).
- Den Zustand der Backups prüfen und sofort eine Offline-Kopie sichern.
- Einen spezialisierten Dienstleister für die Wiederherstellung nach Ransomware-Angriffen auf ESXi kontaktieren.
5️⃣Zusammenfassung der wichtigsten Auswirkungen
| Element | Auswirkung |
| VMDK-Dateien | Vollständige oder teilweise Verschlüsselung, modifizierter Header |
| Snapshots | Oft gelöscht, Verlust von Wiederherstellungspunkten |
| Datastore | Verschlüsseltes NFS oder VMFS, mögliche Ausbreitung auf alle VMs |
| Backups | Risiko der Verschlüsselung, wenn zugänglich – starker Einfluss auf die Wiederherstellung |
| Wiederherstellungszeit | 1–2 Tage (intakter VMDK) bis 3–4 Wochen (beschädigter Header + mehrere VMs) |
Abschließend lässt sich sagen, dass ein Ransomware-Angriff auf einen VMware-ESXi-Hypervisor äußerst kritisch ist: Die VMDK-Dateien enthalten sämtliche Daten der virtuellen Maschine, und deren Beschädigung oder Verschlüsselung macht die Wiederherstellung komplex. Die Schnelligkeit der Intervention, die Verfügbarkeit isolierter Backups und der Einsatz spezialisierter Tools bestimmen den Erfolg und die benötigte Wiederherstellungszeit.