Sulmi kundër serverëve VMware ESXi nuk ka përfunduar ende. Sipas të dhënave të fundit, më shumë se 3000 organizata në mbarë botën janë prekur. Agjencia Amerikane e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës (CISA) ka lëshuar një skript për të rivendosur makinat virtuale, por kriminelët kibernetikë kanë përditësuar ransomware ESXiArgs për ta bërë atë praktikisht të padobishëm.
Versioni i ri i ESXiArgs
ransomware shfrytëzon një dobësi të vjetër të shërbimit VMware ESXi OpenSLP (të cilin kompania kaliforniane rekomandon çaktivizimin). Skripti encrypt.sh i përdorur për enkriptim kërkon skedarë me shtesat .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram dhe .vmem. Për secilën prej tyre kontrolloni madhësinë. Ato më të vogla se 128 MB janë të koduara plotësisht, ndërsa ato më të mëdha se 128 MB janë të koduara në mënyrë alternative (ose me ndërprerje). Për shembull, skedarët 4,5 GB enkriptojnë të dhënat çdo 45 MB.
Kjo teknikë lë disa pjesë të pakriptuara, kështu që disa studiues kanë gjetur një mënyrë për të rikuperuar makinat virtuale nga skedarët flat.vmdk. CISA ka lëshuar një skenar që automatizon procesin.
Fatkeqësisht, disa viktima kanë raportuar se skenari nuk funksionon. Kriminelët kibernetikë përditësuan ransomware, duke ndryshuar rutinën e kriptimit. Tani 50% e të dhënave janë të koduara për skedarë më të mëdhenj se 128 MB. Kjo ju pengon të rivendosni VM-të nga skedarët flat.vmdk.
Me versionin e dytë të ESXiArgs, adresa e Bitcoin u hoq gjithashtu nga skedari i tekstit që përmban udhëzimet për pagesën e shpërblimit (rreth 2 Bitcoin). Tani ju duhet të kontaktoni kriminelët kibernetikë përmes Tox. Më në fund, disa administratorë të TI-së raportuan se versioni i ri mund të enkriptojë skedarët edhe nëse shërbimi OpenSLP është i çaktivizuar. Nuk dihet nëse një dobësi tjetër është shfrytëzuar.
Discussion about this post