.
A Agência de Segurança Cibernética e de Infraestrutura (CISA) e o FBI lançaram um alerta conjunto sobre uma campanha de ransomware ESXiArgs em andamento visando versões não corrigidas e fora de serviço ou desatualizadas do hypervisor VMware ESXi para máquinas virtuais (VMs) .
De acordo com a CISA, 3.800 servidores VMware ESXi foram comprometidos globalmente, potencialmente deixando as VMs em execução no servidor ESXi inutilizáveis.
Também: Microsoft: Estamos rastreando essas 100 gangues de ransomware ativas usando 50 tipos de malware
A VMware alertou esta semana as empresas para atualizar os servidores ESXi para as versões suportadas do hypervisor. Ele também observou que os ataques exploraram bugs divulgados anteriormente e forneceu uma solução alternativa em dezembro para desabilitar o Service Location Protocol (SLP) no VMware ESXi. Os patches, lançados em 2021, abordam o bug crítico rastreado como CVE-2021-21974, que afetou o componente SLP no ESXi.
O ransomware ESXiArgs parece ter começado a atacar servidores na Europa por volta de 3 de fevereiro, mas desde então se espalhou para a América do Norte.
A equipe de resposta a emergências de computadores (CERT) da França aconselhou as organizações a isolar os servidores afetados, reinstalar uma versão suportada do ESXi 7.x ou ESXi 8.x e aplicar quaisquer patches.
A CISA e o FBI encorajaram aqueles com servidores VMware ESXi a atualizá-los para a versão mais recente do ESXi, fortalecer os hipervisores ESXi desativando o serviço SLP e garantir que o hipervisor ESXi não seja exposto à Internet pública.
A CISA publicou o script de recuperação em sua conta do GitHub, explicando como ele funciona reconstruindo os metadados da VM a partir de discos virtuais que não foram criptografados pelo malware.
O ransomware criptografa arquivos .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram e .vmem em servidores comprometidos. Ele pode inutilizar VMs porque criptografa arquivos de configuração vinculados a VMs. Mas o script pode funcionar para recuperação usando o arquivo simples não criptografado.
“A CISA está ciente de que algumas organizações relataram sucesso na recuperação de arquivos sem pagar resgates”, observa. O script é baseado em recursos disponíveis publicamente e um tutorial de Enes Sonmez e Ahmet Aykac.
Ainda assim, a CISA adverte que as organizações precisam revisar o script para ver se ele é adequado ao seu ambiente antes de implantá-lo. A CISA não se responsabiliza por máquinas danificadas durante as tentativas de recuperação.
Também: A equipe de segurança cibernética está lutando. Veja como apoiá-los melhor
“Este script não visa excluir os arquivos de configuração criptografados, mas sim criar novos arquivos de configuração que permitem o acesso às VMs. Embora a CISA trabalhe para garantir que scripts como este sejam seguros e eficazes, este script é fornecido sem garantia, seja implícito ou explícito. Não use este script sem entender como isso pode afetar seu sistema. A CISA não assume responsabilidade por danos causados por este script”, observa a agência.
.
