ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu hafta dünya çapında binlerce kuruluşu etkileyen ESXiArgs fidye yazılımı varyantının kurbanları için bir kurtarma komut dosyası yayınladı.
CISA’nın ESXiArgs-Recover aracı, GitHub’da ücretsiz olarak mevcuttur ve kuruluşlar, fidye yazılımı varyantının şifrelemiş olabileceği savunmasız VMware ESXi sunucularındaki yapılandırma dosyalarını kurtarmayı denemek için bunu kullanabilir. Ajans, aracı kullanan bazı kuruluşların şifrelenmiş dosyalarını fidye ödemek zorunda kalmadan başarıyla kurtardığını belirtti.
Ancak CISA, aracı kullanmayı planlayan herhangi bir siber güvenlik ekibinin, EXSIArgs’ın şifrelemiş olabileceği dosyaları kurtarmaya çalışmadan önce aracın nasıl çalıştığını anladığından emin olması gerektiği konusunda uyardı. “CISA, ESXiArgs’tan etkilenen kuruluşların, uygun olup olmadığını belirlemek için beraberindeki README dosyasında sağlanan komut dosyasını ve kılavuzu değerlendirmesini önerir. [a] uygun”, kendi ortamları için kaydetti.
ESXiArgs, Fransa’nın Bilgisayar Acil Durum Müdahale Ekibinin (CERT) ilk olarak 3 Şubat’ta dünya çapında VMware ESXi hiper yöneticilerini hedef aldığını tespit ettiği bir fidye yazılımı çeşididir. Kötü amaçlı yazılım, ağ adreslerini çözümlemeye yönelik bir ESXi hizmeti olan Açık Hizmet Konum Protokolü’ndeki (OpenSLP) 2 yıllık ve uzun süredir yama uygulanmış bir uzaktan kod yürütme güvenlik açığından (CVE-2021-21974) yararlanır.
ESXiArgs nedir?
ESXiArgs halihazırda ABD, Kanada ve diğer birçok ülkede 3.000’den fazla yama uygulanmamış sunucuya bulaştı. Kurbanlar, şifre çözme anahtarı için yaklaşık 2 Bitcoin (veya basın zamanında yaklaşık 22.800 $) fidye talebi aldıklarını bildirdi. Etkilenen kuruluşlar ayrıca, kampanyanın arkasındaki tehdit aktörünün kendilerini üç gün içinde ödeme yapmaları veya hassas bilgilerinin kamuya açıklanması riskini almaları konusunda uyardığını bildirdi.
ESXiArgs’ı analiz eden güvenlik araştırmacıları, kötü amaçlı yazılımın şifreleme sürecini, sistemi kullanılamaz hale getirmek için özellikle sanal makine dosyalarını hedefliyor olarak tanımlıyor. Rapid 7, bu haftanın başlarında verdiği bir uyarıda, kötü amaçlı yazılımın, G/Ç komutlarını işleyen sanal makine çekirdeğindeki belirli bir işlemi öldürerek sanal makineleri kapatmaya çalıştığını bildirdi. Rapid7’ye göre bazı durumlarda, kötü amaçlı yazılım dosyaları şifrelemede yalnızca kısmen başarılı oldu ve kurbanlara verileri kurtarma şansı verdi.
Rapid7, 8 Şubat’ta yaptığı bir güncellemede, tehdit istihbaratının, ESXiArg operatörüne ek olarak birden çok fidye yazılımı grubunun CVE-2021-21974 ve diğer VMware ESXi güvenlik açıklarını hedef aldığını gösterdiğini söyledi.
Yayınlanmış Bilgilere Dayalı Kurtarma Aracı
CISA’nın kurtarma betiği, ESXiArgs kurbanlarının fidye yazılımının şifreleyemediği disklerden sanal makine meta verilerini nasıl yeniden oluşturabileceklerini gösteren iki güvenlik araştırmacısının (Enes Sönmez ve Ahmet Aykaç) çalışmasına dayanmaktadır.
CISA, “Bu komut dosyası, şifrelenmiş yapılandırma dosyalarını silmeye çalışmıyor, bunun yerine VM’lere erişimi sağlayan yeni yapılandırma dosyaları oluşturmaya çalışıyor” dedi. “CISA, bunun gibi komut dosyalarının güvenli ve etkili olmasını sağlamak için çalışırken, bu komut dosyası, örtülü veya açık hiçbir garanti olmaksızın teslim edilir.”
VMware, kuruluşları ESXiArgs’ın istismar ettiği kusur için iki yıl önce yayınladığı yamayı uygulamaya çağırdı. VMware, geçici bir önlem olarak, kusuru düzeltmemiş kuruluşların ESXi’nin hizmet konumu protokolünü (SLP) devre dışı bırakarak ESXiArgs yoluyla saldırı riskini azaltması gerektiğini söyledi. Başka bir önlem: Singapur’un SingCERT’si bir bildirimde mümkünse 427 numaralı bağlantı noktasını (SLP’nin kullandığı tek bağlantı noktası) devre dışı bırakın.