.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) lançou um script de recuperação para ajudar as empresas cujos servidores foram embaralhados no recente surto de ransomware ESXiArgs.
O ataque de malware atingiu milhares de servidores em todo o mundo, mas não há mais necessidade de enriquecer os criminosos. Além do script, a CISA e o FBI publicaram hoje a recuperação da máquina virtual do ransomware ESXiArgs orientação sobre como recuperar sistemas o mais rápido possível.
Estima-se que o software desagradável esteja em mais de 3.800 servidores em todo o mundo, de acordo com os federais. No entanto, “a contagem de vítimas é provavelmente maior devido aos mecanismos de pesquisa da Internet serem uma varredura pontual e os dispositivos serem colocados offline para correção antes de uma segunda varredura”, pesquisadores de segurança do Arctic Wolf Labs observado.
O Tio Sam instou todas as organizações que gerenciam servidores VMware ESXi a atualizar para a versão mais recente do software, fortalecer os hipervisores ESXi desativando o serviço Service Location Protocol (SLP) e garantir que o ESXi não seja exposto à Internet pública.
Além disso: as agências governamentais realmente não incentivam o pagamento do resgate, exceto quando o fazem.
Más notícias, boas notícias
Na sexta-feira passada, as agências de segurança cibernética da França e da Itália soaram o alarme sobre a campanha de ransomware que explora o CVE-2021-21974 – um bug com classificação de 9,1/10 divulgado e corrigido dois anos atrás.
A má notícia: o ransomware infecta o ESXi, o hypervisor bare metal da VMware, que é uma mina de ouro em potencial para invasores. Depois de comprometer o ESXi, eles podem passar para máquinas convidadas que executam aplicativos e dados críticos.
A boa notícia é que não é um malware muito sofisticado. Às vezes, a criptografia e a exfiltração de dados não funcionam e, logo após as agências governamentais soarem o alarme, os pesquisadores de segurança lançaram sua própria ferramenta de descriptografia. Agora a CISA adicionou sua ferramenta de recuperação ao conjunto de correções.
As organizações podem acessar o script de recuperação no GitHub.
A agência dos EUA compilou a ferramenta usando recursos disponíveis publicamente, incluindo o descriptografador e tutorial por Enes Sonmez e Ahmet Aykac. “Essa ferramenta funciona reconstruindo os metadados da máquina virtual a partir de discos virtuais que não foram criptografados pelo malware”, de acordo com a CISA.
A organização do governo dos EUA também sugere que as pessoas verifiquem a orientação fornecida no arquivo README que o acompanha para determinar se o script é adequado.
Em pesquisa publicada na terça-feira, a empresa de segurança em nuvem Wiz informou que 12% dos servidores ESXi permanecem sem correção para CVE-2021-21974 e, portanto, vulneráveis a ataques.
Relatórios anteriores indicaram que o malware tem vínculos com o família ransomware Nevada, observado pela primeira vez em dezembro de 2022 e associado a criminosos chineses e russos. No entanto, uma análise mais aprofundada sugere que o ransomware é provavelmente baseado em Código-fonte Babuk.
O código-fonte Babuk vazou em 2021 e, desde então, tem sido usado em outros ataques de ransomware ESXi, como CheersCrypt e PrideLocker. ®
.
