Organizacje dotknięte atakiem ransomware ESXiArgs dla serwerów VMware ESXI mogą skorzystać ze zautomatyzowanego skryptu przywracania. Tak twierdzi Agencja Cyberbezpieczeństwa i Infrastruktury (Cybersecurity and Infrastructure Security Agency – CISA) oraz FBI.
Obie organizacje wydały wspólne ostrzeżenie dotyczące trwającej kampanii ransomware ESXiArgs. Ma ona na celu atakowanie niezaaktualizowanych i wycofanych lub przestarzałych wersji hypervisora VMware ESXi dla maszyn wirtualnych.
CISA: aż 3800 serwerów już zaataktowanych
Według CISA na całym świecie skompromitowano 3800 serwerów VMware ESXi. Potencjalnie uniemożliwia to korzystanie z uruchomionych na nich maszyn wirtualnych.
Sprawdź: Cyberzagrożenia – rodzaje
VMware ostrzegł przedsiębiorstwa, aby zaktualizowały serwery ESXi do obsługiwanych wersji hypervisora. Firma zwróciła uwagę, że ataki wykorzystują wcześniej ujawnione błędy i zapewniła sposób na wyłączenie protokołu lokalizacji usług (SLP) w VMware ESXi.
Dodajmy, że w wydanych w 2021 roku łatkach rozwiązano krytyczny błąd o oznaczeniu CVE-2021-21974, który dotyczył komponentu SLP w ESXi.
Ransomware ESXiArgs zaczął atakować serwery w Europie ok. 3 lutego 2023 r., ale od tamtego czasu rozprzestrzenił się na Amerykę Północną.
Francuska jednostka ds. reagowania na awarie informatyczne (CERT) zaleciła organizacjom izolację dotkniętych serwerów, ponowną instalację obsługiwanej wersji ESXi 7.x lub ESXi 8.x i zastosowanie wszelkich łatek.
CISA i FBI zachęcają do aktualizacji
Organizacje CISA i FBI zachęcają użytkowników serwerów VMware ESXi do zaktualizowania ich do najnowszej wersji hypervisora, a następnie zabezpieczenia ESXi przez wyłączenie usługi SLP. Dodają, że hypervisor ESXi nie jest wystawiony na publiczny internet.
CISA opublikowała też skrypt odzyskiwania danych na swoim koncie na GitHub. Wyjaśnia, jak działa: wykonuje odtworzenie metadanych VM z wirtualnych dysków, które nie zostały zaszyfrowane przez złośliwe oprogramowanie.
Ransomware szyfruje pliki .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram i .vmem na skompromitowanych serwerach. Może to uniemożliwić korzystanie z maszyn wirtualnych, ponieważ szyfruje pliki konfiguracyjne i te powiązane z nimi. Skrypt zapewni pomoc w celu odzyskania danych, korzystając z niezaszyfrowanego pliku.
Niektóre firmy odzyskały pliki bez płacenia okupu
„CISA wie już, że niektóre organizacje zgłosiły sukces w odzyskiwaniu plików bez płacenia okupów” – zaznacza agencja. Skrypt opiera się na publicznie dostępnych zasobach i poradniku autorstwa Enesa Sonmeza i Ahmeta Aykaca.
Zobacz: Klucz dostępu zamiast hasła
Mimo to CISA ostrzega, że organizacje muszą przeglądać skrypt, aby zobaczyć, czy pasuje do ich środowiska przed wdrożeniem. CISA nie ponosi odpowiedzialności za uszkodzenia maszyn podczas prób odzyskiwania.
„Ten skrypt nie ma na celu usuwania zaszyfrowanych plików konfiguracyjnych, ale tworzenie nowych plików konfiguracyjnych umożliwiających dostęp do maszyn wirtualnych. Chociaż CISA stara się zapewnić, że skrypty takie jak ten są bezpieczne i skuteczne, ten skrypt jest dostarczany bez gwarancji, zarówno wyraźnej, jak i dorozumianej. Nie używaj tego skryptu bez zrozumienia, jak może wpłynąć na twoją maszynę. CISA nie ponosi odpowiedzialności za szkody spowodowane skryptem” – zaznacza agencja.