0
0
De acordo com os dados mais recentes, o número de vítimas do ransomware ESXiArgs ultrapassou 3.800 e a CISA publicou um script de recuperação para organizações de vítimas.
Consertando a bagunça
Os ataques começaram no final da semana passada e ainda estão em andamento.
As investigações apontam para uma nova família de ransomware apelidada de ESXiArgs pelos pesquisadores – embora, de acordo com Paul Ducklin, chefe de tecnologia da Sophos para a região da Ásia-Pacífico, deva ser apenas Args, pois é um programa Linux que pode ser usado contra mais do que apenas Sistemas e arquivos VMWare ESXi.
O malware tenta matar máquinas virtuais em execução, exportar uma lista de volumes do sistema de arquivos ESXi, encontrar arquivos VMWare importantes para cada volume e chamar uma ferramenta de embaralhamento de arquivos de uso geral para cada arquivo encontrado, explicou Ducklin .
Mas, de acordo com diferentes fontes, a primeira etapa do processo ocasionalmente falha e o processo de criptografia é limitado a um pequeno bloco de dados nos arquivos.
“Dependendo do sistema operacional da VM e do tipo de sistema de arquivos, você pode recuperar dados com ferramentas de recuperação de dados, pelo menos parcialmente. Cuidado, essas ferramentas podem ter uma ação irreversível no arquivo, portanto, recomendamos copiar os arquivos da VM em outro local para proteger os dados antes de tentar qualquer operação de recuperação”, alertou Julien Levrard, CISO da OVHcloud.
Para ajudar as organizações a recuperar as máquinas virtuais afetadas pelos ataques de ransomware ESXiArgs, a CISA lançou um script de recuperação baseado em recursos disponíveis publicamente, incluindo um tutorial de Enes Sonmez e Ahmet Aykac da YoreGroup Tech Team.
“A ferramenta funciona reconstruindo os metadados da máquina virtual a partir de discos virtuais que não foram criptografados pelo malware. Este script não visa excluir os arquivos de configuração criptografados, mas sim criar novos arquivos de configuração que permitem o acesso às VMs”, explicou a CISA , mas alertou que as organizações que o utilizam revisam-no antes de implantá-lo, para determinar se é apropriado para seu ambiente.
Prevenção de ataques semelhantes
De acordo com uma lista recente compilada pelo consultor técnico da CISA, Jack Cable, combinando os resultados da varredura do Censys de sistemas voltados para a Internet e uma coleção de endereços Bitcoin compilados pelo rastreador de pagamentos ransomware Somewhere, mais de 3.800 sistemas foram atingidos pelo ransomware.
A VMware diz que “não encontrou evidências que sugiram que uma vulnerabilidade desconhecida (0 dia) esteja sendo usada para propagar o ransomware usado nesses ataques recentes”.
O CERT francês diz que os invasores estão explorando o CVE-2021-21974, mas possivelmente também uma vulnerabilidade mais antiga (CVE-2020-3992), para obter acesso aos sistemas de destino. Ambas as falhas afetam o serviço SLP do ESXi, e a VMware lançou patches para elas anos atrás .
“Os sistemas visados atualmente seriam hipervisores ESXi na versão 6.xe anteriores à 6.7”, disse o CERT. A VMware aconselha os usuários a atualizar para uma versão compatível (ESXi 7.x ou ESXi 8.x), implementar quaisquer patches de segurança fornecidos e/ou desabilitar o serviço SLP (e outros serviços desnecessários). A empresa também observou que “em 2021, o ESXi 7.0 U2c e o ESXi 8.0 GA começaram a ser enviados com o serviço desativado por padrão”.
ATUALIZAÇÃO (9 de fevereiro de 2023, 04h30 ET):
Como complemento do script de recuperação ESXiArgs lançado na quarta-feira, a CISA e o FBI publicaram um comunicado conjunto sobre segurança cibernética oferecendo orientação sobre como usar o script e recuperar sistemas.
Mas, alertaram, o script serve apenas como método para recuperar serviços essenciais.
“Embora a CISA e o FBI não tenham visto nenhuma evidência de que os atores tenham estabelecido persistência, recomendamos que as organizações tomem as seguintes ações adicionais de resposta a incidentes após a aplicação do script: revise o registro de rede de e para os hosts ESXi e as VMs convidadas para atividades de verificação incomuns e revise o tráfego dos segmentos de rede ocupados pelos hosts e convidados ESXi”, aconselharam.
“As organizações também devem coletar e revisar artefatos, como processos/serviços em execução, autenticações incomuns e conexões de rede recentes.”
Infelizmente, também há notícias indesejadas: os invasores começaram a usaruma nova versão do ESXiArgs que criptografa uma parte maior dos arquivos de destino, tornando o script de recuperação obsoleto.
FONTE: HELPNET SECURITY