En son verilere göre, ESXiArgs fidye yazılımı kurbanlarının sayısı 3.800’ü aştı ve CISA, kurban kuruluşlar için bir kurtarma komut dosyası yayınladı.
dağınıklığı düzeltmek
Saldırılar geçen hafta sonlarında başladı ve halen devam ediyor.
Araştırmalar, araştırmacılar tarafından ESXiArgs olarak adlandırılan yeni bir fidye yazılımı ailesine işaret ediyor – ancak, Sophos Asya Pasifik bölgesi Teknoloji Başkanı Paul Ducklin’e göre, yalnızca Args olmalı, çünkü yalnızca birden fazlasına karşı kullanılabilen bir Linux programı. VMWare ESXi sistemleri ve dosyaları.
Ducklin, kötü amaçlı yazılımın çalışan sanal makineleri kapatmaya, bir ESXi dosya sistemi birim listesini dışa aktarmaya, her birim için önemli VMWare dosyalarını bulmaya ve bulunan her dosya için genel amaçlı bir dosya karıştırma aracı çağırmaya çalıştığını açıkladı.
Ancak farklı kaynaklara göre, işlemin ilk adımı bazen başarısız olur ve şifreleme işlemi, dosyalar içindeki küçük bir veri yığınıyla sınırlıdır.
“Sanal makine işletim sisteminize ve dosya sistemi türünüze bağlı olarak, en azından kısmen, veri kurtarma araçlarıyla verileri kurtarabilirsiniz. Dikkatli olun, bu araçların dosya üzerinde geri dönüşü olmayan eylemleri olabilir, bu nedenle, herhangi bir kurtarma işlemini denemeden önce verileri korumak için VM dosyalarını başka bir konuma kopyalamanızı öneririz,” diye uyardı OVHcloud’da CISO’dan Julien Levrard.
Kuruluşların ESXiArgs fidye yazılımı saldırılarından etkilenen sanal makineleri kurtarmasına yardımcı olmak için CISA, YoreGroup Tech Team’den Enes Sönmez ve Ahmet Aykaç tarafından hazırlanan bir eğitim de dahil olmak üzere, halka açık kaynaklara dayalı bir kurtarma komut dosyası yayınladı.
“Araç, kötü amaçlı yazılım tarafından şifrelenmemiş sanal disklerden sanal makine meta verilerini yeniden oluşturarak çalışır. Bu komut dosyası, şifrelenmiş yapılandırma dosyalarını silmeyi amaçlamaz, bunun yerine VM’lere erişimi etkinleştiren yeni yapılandırma dosyaları oluşturmaya çalışır.” çevreleri.
Benzer saldırıları önleme
CISA teknik danışmanı Jack Cable tarafından Censys’in internete bakan sistemleri taramasının sonuçları ile kitle kaynaklı fidye yazılımı ödeme izleyicisi Somewhere tarafından derlenen bir Bitcoin adresleri koleksiyonunu birleştirerek derlenen yakın tarihli bir listeye göre, 3.800’den fazla sistem fidye yazılımı tarafından saldırıya uğradı.
VMware, “bu son saldırılarda kullanılan fidye yazılımını yaymak için bilinmeyen bir güvenlik açığının (0-gün) kullanıldığını gösteren kanıt bulamadıklarını” söylüyor.
Fransız CERT, saldırganların hedef sistemlere erişim elde etmek için CVE-2021-21974’ü, ancak muhtemelen daha eski bir güvenlik açığından (CVE-2020-3992) yararlandığını söylüyor. Her iki kusur da ESXi’nin SLP hizmetini etkiliyor ve VMware yıllar önce onlar için yamalar yayınladı.
CERT, “Şu anda hedeflenen sistemler, 6.x sürümündeki ve 6.7’den önceki ESXi hipervizörleri olacaktır” dedi. VMware, kullanıcılara desteklenen bir sürüme (ESXi 7.x veya ESXi 8.x) yükseltmelerini, sağlanan tüm güvenlik yamalarını uygulamalarını ve/veya SLP hizmetini (ve diğer gereksiz hizmetleri) devre dışı bırakmalarını önerir. Şirket ayrıca, “2021’de ESXi 7.0 U2c ve ESXi 8.0 GA’nın, hizmet varsayılan olarak devre dışı bırakılarak gönderilmeye başladığını” belirtti.