.
Isso não demorou muito.
Uma semana depois que a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e o FBI lançado uma recuperação roteiro para ajudar as vítimas dos ataques generalizados de ransomware ESXiArgs a recuperar sistemas infectados, uma variante atualizada do malware destinada a máquinas virtuais VMware ESXi vulneráveis não pode ser corrigida com o código das agências governamentais, de acordo com Malwarebytes.
A variante não pode ser descriptografada usando o script lançado ao GitHub pela CISA porque, ao contrário das versões anteriores, não deixa grandes seções de dados sem criptografia, de acordo com Pieter Arntz, analista de malware da Malwarebytes.
“Isso torna a recuperação quase impossível”, escreveu Arntz em um publicar esta semana, observando relatos de vítimas de ataques recentes do ESXiArgs sobre o novo criptografador do ransomware.
O malware atualizado foi bem-sucedido porque a ferramenta ESXiArgs-Recover da CISA foi criada com referência a recursos disponíveis publicamente, incluindo um tutorial por Enes Sonmez e Ahmet Aykac, que descreve o funcionamento do malware.
Em seu alerta explicando o script de recuperação, a CISA observou que o ESXiArgs criptografa configurações específicas associadas ao VMS em servidores vulneráveis, tornando as máquinas virtuais inutilizáveis.
“Como resultado, é possível, em alguns casos, que as vítimas reconstruam os arquivos de configuração criptografados com base no arquivo simples não criptografado”, escreveu a CISA. “O script de recuperação documentado abaixo automatiza o processo de recriação de arquivos de configuração.”
A nova variante do ESXiArgs criptografa mais dados do que a ferramenta de recuperação da CISA foi projetada para recuperar.
“Onde a antiga rotina de criptografia ignorava grandes blocos de dados com base no tamanho do arquivo, a nova rotina de criptografia ignora apenas partes pequenas (1 MB) e depois criptografa o próximo 1 MB”, escreveu Arntz. “Isso garante que todos os arquivos maiores que 128 MB sejam criptografados em 50 por cento. Arquivos com menos de 128 MB são totalmente criptografados, o que também acontecia na variante antiga.”
A nota do ransomware informará às vítimas se elas estão lidando com a nova variante. Além disso, ao contrário da nota original, a nova compilação não menciona um endereço Bitcoin, escreveu ele. Em vez disso, as vítimas são instruídas a entrar em contato com os criminosos no Tox Chat, um serviço de mensagens criptografadas.
Arntz especulou que é “provável que essa mudança tenha sido desencadeada pelo medo de rastrear pagamentos por meio do blockchain, o que pode eventualmente levar ao agente da ameaça”.
A CISA disse na semana passada que mais de 3.800 servidores em todo o mundo foram infectados com o ransomware ESXiArgs original, embora pesquisadores da Arctic Wolf disse a contagem pode ser maior.
A campanha de ransomware emergente rapidamente ganhou destaque depois que agências de segurança cibernética na França e na Itália disseram que uma vulnerabilidade no hipervisor ESXi da VMware estava sendo explorada. A falha – CVE-2021-21974com uma pontuação de gravidade de 9,1 em 10 – foi divulgado e corrigido em 2021.
“Os atores provavelmente estão visando servidores ESXi em fim de vida ou servidores ESXi que não possuem os patches de software ESXi disponíveis aplicados”, escreveu a CISA em seu relatório. De acordo com Arntz da Malwarebytes, algumas vítimas disseram ao fornecedor de segurança cibernética que o serviço de rede SLP foi desativado, o que a VMware disse ser um Gambiarra para a vulnerabilidade.
Ele acrescentou que o CVE-2021-21974 era “o principal, mas não o único, suspeito neste caso”.
Os pesquisadores da Malwarebytes observaram em seu relatório inicial relatório semana passada sobre ESXiArgs que outras vulnerabilidades no hipervisor – notavelmente CVE-2022-31696, CVE-2022-31697, CVE-2022-31698 e CVE-2022-31699 – podem permitir que cibercriminosos assumam sistemas infectados por meio de uma execução remota de código (RCE) ataque.
Dito isso, a Malwarebytes está pedindo às empresas que atualizem o ESXi ou tornem as VMs ESXi inacessíveis pela Internet.
A VMware emitiu seu próprio recomendações.
Os relatórios iniciais apontavam que o ESXiArgs estava vinculado à família de ransomware Nevada que entrou em cena em dezembro de 2022. No entanto, a opinião mudou, com outros sugerindo que o malware é baseado no código-fonte Babuk, que vazou em 2021 e foi vinculado a outros ESXi. ataques de ransomware. ®
.
