ESXi Virtual Machines’e yapılan büyük saldırının arkasındaki fidye yazılımı grubu, artık mevcut kurtarma komut dosyasıyla şifresi çözülemeyen yeni bir değişken geliştirdi.
Bir tarafın diğer tarafın kaydettiği ilerlemeye karşılık verdiği tipik bir silahlanma yarışında, ESXi Sanal Makinelerine (VM’ler) yönelik büyük saldırının arkasındaki fidye yazılımı grubu, artık şifresi çözülemeyen yeni bir değişken geliştirdi. Cybersecurity & Infrastructure Security Agency (CISA) tarafından yayınlanan kurtarma komut dosyası ile.
Yeni şifreleme rutini
Kurbanlar, şifreleyicinin artık büyük veri yığınlarını şifrelenmemiş olarak bırakmayan yeni bir varyantını bildirdiler. Bu, iyileşmeyi neredeyse imkansız hale getirir. ESXiArgs fidye yazılımının kurbanı olan kuruluşlar için CISA tarafından yayınlanan kurtarma komut dosyasının artık bu yeni değişken için çalışmadığı bildiriliyor. CISA, ESXiArgs-Recover aracını, Enes Sönmez ve Ahmet Aykaç tarafından hazırlanan bir eğitim de dahil olmak üzere, halka açık kaynaklara dayalı olarak derledi. Şifre çözme aracı, VM’leri kurtarmak için sanal makinenin disk verilerinin depolandığı büyük ve dolayısıyla çoğunlukla şifrelenmemiş düz dosyaları kullanır.
Eski şifreleme yordamı, dosyanın boyutuna bağlı olarak büyük veri parçalarını atlarken, yeni şifreleme yordamı yalnızca küçük (1MB) parçaları atlar ve sonraki 1MB’ı şifreler. Bu, 128 MB’den büyük tüm dosyaların %50 oranında şifrelenmesini sağlar. 128 MB’ın altındaki dosyalar, eski değişkende de olduğu gibi tamamen şifrelenir.
Fidye notu
Kurbanlar, fidye notuna bakarak varyantları ayırt edebilir. Yeni değişken fidye notunda artık Bitcoin adresinden bahsetmiyor, ancak kurbanlara şifreli bir mesajlaşma hizmeti olan TOX üzerinden tehdit aktörüyle iletişim kurmalarını söylüyor. Bu değişikliğin, sonunda tehdit aktörüne yol açabilecek blok zinciri aracılığıyla ödemeleri takip etme korkusuyla tetiklenmiş olması muhtemeldir.
Saldırı vektörü
Bu saldırı dalgasıyla ilgili ilk raporumuzda belirttiğimiz gibi:
“Tüm ipuçları CVE-2021-21974’ü işaret etse de, VMware ESXi’de CVE-2022-31696, CVE-2022-31697, CVE-2022-31698 ve CVE-2022-31699 gibi potansiyel olarak aşağıdakilere yol açabilecek birkaç kritik güvenlik açığı vardır: etkilenen sistemlerde uzaktan kod yürütme (RCE).
Bazı kurbanlar, SLP’yi devre dışı bıraktıklarını belirtmişlerdir; bu, VMware tarafından bu davadaki tek olmasa da asıl şüpheli olan iki yıllık güvenlik açığı için önerilen bir geçici çözümdür.
Lütfen
CISA ve FBI’a göre, dünya çapında yaklaşık 3800 sunucu EXSiArgs’ın kurbanı oldu.
Yani, ya ESXi’yi güncelleyin ya da muhtemelen daha da iyisi, ESXi VM’lerinizi internetten erişilemez hale getirin.
Bu saldırının birçok yönü belirsizliğini koruyor ve yeni ayrıntılar öğrenildiğinde sizi haberdar edeceğiz.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.