ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ESXiArgs fidye yazılımı kurbanlarına yardımcı olmak için yeni bir araç yayınladı. SXiArgs-Kurtarma olarak adlandırıldı.
CISA’ya göre SXiArgs-Recover, fidye yazılımı saldırısı kurbanlarının şu anda etkin olan saldırı kampanyasından etkilenen sanal makineleri (VMware sanal makineleri) kurtarmasına yardımcı olmak için tasarlanmış açık kaynaklı bir araçtır. ESXiArgs fidye yazılımı. CISA, bazı kuruluşların bu aracı fidye ödemeden dosyaları kurtarmak için kullandığını kaydetti.
CISA bunu geliştirdi alet Enes Sönmez ve Ahmet Aykaç tarafından hazırlanan bir eğitim gibi tamamen halka açık kaynakları kullanarak. Kötü amaçlı yazılımın şifrelemediği sanal disklerden sanal makine meta verilerini yeniden oluşturarak işi yapar. onun içinde teknik danışmanlıkajans belirtti,
“CISA’nın ESXiArgs kurtarma komut dosyasını kullanmak isteyen herhangi bir kuruluş, onu konuşlandırmadan önce ortamları için uygun olup olmadığını belirlemek için dikkatlice incelemelidir. Bu komut dosyası, şifrelenmiş yapılandırma dosyalarını silmeye çalışmaz, bunun yerine VM’lere erişim sağlayan yeni yapılandırma dosyaları oluşturmaya çalışır.”
CISA
Fidye Yazılımı Saldırısı Ayrıntıları
Daha önce tehdit aktörlerinin, VMware’in 2021’de yama yaptığı yüksek önem düzeyine sahip bir ESXi uzaktan kod yürütme güvenlik açığından yararlandığını bildirmiştik. Güvenlik açığı CVE-2021-21974 olarak izlendi ve şu anda sanal makineleri hedefleyen dosya şifreleme kötü amaçlı yazılımlarını dağıtmak için kullanılıyor.
Bu eski hata, saldırganların OpenSLP’de bir yığın taşması sorunu başlatarak ESXi hipervizörlerinde uzaktan kod yürütmesine olanak tanır. Siber suçlular çalınan verileri sızdırmakla tehdit ediyor, ancak herhangi bir sızıntı olmadı.
fidye yeri bu yeni saldırı dalgasında hedeflenen kurban sayısının 3800 olduğunu ve toplam 88.000 $ değerinde dört ödeme yapıldığını bildiren bir fidye yazılımı ödeme izleyicisidir.
VMware’in Yanıtı
VMware’e göre, yalnızca yamalı ve güncel olmayan ürünler, bunun gibi bilinen güvenlik açıklarıyla hedeflenir; bu nedenle şirket, müşterilerine en son vSphere bileşenlerine yükseltme yapmalarını tavsiye etti.
Ayrıca, kullanıcıların ESXi’de OpenSLP hizmetini devre dışı bırakmaları önerilir. ESXiArgs kötü amaçlı yazılımının henüz bilinen herhangi bir fidye yazılımı grubuyla bağlantılı olmadığını, ancak kötü amaçlı yazılımın toz kaynak kodu 2021’de sızdırıldı.
ALAKALI HABERLER
- Sodinokibi, REvil fidye yazılımı için şifre çözme anahtarı
- Hakbit ve Jigsaw fidye yazılımlarından gelen verilerin şifresini çözün
- Killnet’in DDoS Botlarını Engelleyen Proxy IP’lerinin Listesi