A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) lançou um script de recuperação para vítimas da variante do ransomware ESXiArgs que afetou milhares de organizações em todo o mundo esta semana.
A ferramenta ESXiArgs-Recover da CISA está disponível gratuitamente no GitHub e as organizações podem usá-la para tentar a recuperação de arquivos de configuração em servidores VMware ESXi vulneráveis que a variante do ransomware pode ter criptografado. Algumas organizações que usaram a ferramenta recuperaram com sucesso seus arquivos criptografados sem pagar resgate, observou a agência.
No entanto, qualquer equipe de segurança cibernética que planeje usar a ferramenta deve primeiro se certificar de que entende como ela funciona antes de tentar recuperar arquivos que o EXSIArgs possa ter criptografado , alertou a CISA . “A CISA recomenda que as organizações afetadas pelo ESXiArgs avaliem o script e as orientações fornecidas no arquivo README que o acompanha para determinar se é adequado” para seus ambientes, observou.
O ESXiArgs é uma variante de ransomware que o Computer Emergency Response Team (CERT) da França detectou pela primeira vez em 3 de fevereiro, visando hipervisores VMware ESXi em todo o mundo . O malware explora uma vulnerabilidade de execução remota de código de 2 anos – e corrigida há muito tempo – ( CVE-2021-21974 ) no Open Service Location Protocol (OpenSLP), um serviço ESXi para resolver endereços de rede.
O que é ESXiArgs?
O ESXiArgs já infectou mais de 3.000 servidores não corrigidos nos EUA, Canadá e vários outros países. As vítimas relataram ter recebido um pedido de resgate de cerca de 2 Bitcoins (ou cerca de US$ 22.800 no momento desta publicação) pela chave de descriptografia. As organizações afetadas também relataram o agente da ameaça por trás da campanha alertando-as para pagar em três dias ou arriscar que suas informações confidenciais sejam divulgadas publicamente.
Os pesquisadores de segurança que analisaram o ESXiArgs descrevem o processo de criptografia do malware como tendo como alvo específico os arquivos da máquina virtual para tornar o sistema inutilizável. Em um alerta no início desta semana, o Rapid 7 relatou que o malware estava tentando desligar máquinas virtuais matando um processo específico no kernel da máquina virtual que lida com comandos de E/S. Em alguns casos, porém, o malware foi apenas parcialmente bem-sucedido na criptografia de arquivos e deu às vítimas a chance de recuperar dados, de acordo com o Rapid7.
Em uma atualização de 8 de fevereiro, a Rapid7 disse que sua inteligência de ameaças mostra que vários grupos de ransomware, além do operador do ESXiArg, têm como alvo o CVE-2021-21974 e outras vulnerabilidades do VMware ESXi.
Ferramenta de Recuperação Baseada em Informações Publicadas
O script de recuperação da CISA é baseado no trabalho de dois pesquisadores de segurança – Enes Sonmez e Ahmet Aykac – que mostraram como as vítimas do ESXiArgs podem reconstruir metadados de máquinas virtuais de discos que o ransomware pode ter falhado ao criptografar.
“Este script não procura excluir os arquivos de configuração criptografados, mas sim criar novos arquivos de configuração que permitem o acesso às VMs”, disse a CISA. “Embora a CISA trabalhe para garantir que scripts como este sejam seguros e eficazes, esse script é fornecido sem garantia, implícita ou explícita.”
A própria VMware pediu às organizações que implementassem o patch lançado há dois anos para a falha que o ESXiArgs está explorando. Como medida temporária, as organizações que não corrigiram a falha devem desabilitar o protocolo de localização de serviço (SLP) do ESXi para mitigar o risco de ataque via ESXiArgs, disse a VMware. Outra medida: desativar a porta 427 (a que o SLP usa), sempre que possível, aconselhou o SingCERT de Cingapura em um aviso .
FONTE: DARK READING