Σε απάντηση στις εκτεταμένες επιθέσεις ransomware ESXiArgs που έπληξαν πολλούς VMware ESXi servers, ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) κυκλοφόρησε ένα recovery script για να βοηθήσει τα θύματα αυτά στις προσπάθειες αποκατάστασης!
Από την περασμένη Παρασκευή, ξεκίνησε μια μαζική επίθεση από το νέο ransomware ESXiArgs, που άρχισε να στοχεύει ευάλωτους διακομιστές VMware ESXi σε όλο τον κόσμο. Έχουν κρυπτογραφηθεί τουλάχιστον 2.800 διακομιστές, σύμφωνα με μια λίστα διευθύνσεων bitcoin που συνέλεξε ο τεχνικός σύμβουλος της CISA, Jack Cable.
Δείτε επίσης: Το Medusa botnet επιστρέφει ως παραλλαγή που βασίζεται στο Mirai
Παρόλο που ένας σημαντικός αριθμός συσκευών κρυπτογραφήθηκε, η επιχείρηση αποδείχθηκε ανεπιτυχής, καθώς οι επιτιθέμενοι δεν κατάφεραν να κρυπτογραφήσουν flat files, που περιέχουν όλα τα δεδομένα για τα virtual disks.
Αυτό το λάθος επέτρεψε στους Enes Sonmez και Ahmet Aykac από τη YoreGroup Tech Team να επινοήσουν μια μέθοδο για την αναδόμηση εικονικών μηχανών από μη κρυπτογραφημένα flat files.
Αυτή η μέθοδος έχει βοηθήσει πολλούς ανθρώπους να ανακτήσουν τους διακομιστές τους, αλλά η διαδικασία είναι περίπλοκη για ορισμένους χρήστες.
Η CISA κυκλοφορεί recovery script για τα θύματα του ESXiArgs ransomware
Για να κάνει την ανάκτηση των servers εύκολη για τους χρήστες, η CISA έχει κυκλοφορήσει ένα ESXiArgs-Recover script στο GitHub για την αυτοματοποίηση της διαδικασίας.
“Η CISA γνωρίζει ότι ορισμένοι οργανισμοί έχουν αναφέρει επιτυχία στην ανάκτηση αρχείων χωρίς να πληρώνουν λύτρα. Η CISA συνέταξε αυτό το εργαλείο με βάση δημοσίως διαθέσιμους πόρους, συμπεριλαμβανομένου ενός script από τον Enes Sonmez και τον Ahmet Aykac“, εξηγεί η CISA.
“Αυτό το εργαλείο λειτουργεί ανακατασκευάζοντας virtual machine metadata από virtual disks που δεν ήταν κρυπτογραφημένοι από το κακόβουλο λογισμικό“.
Δείτε επίσης: QakNote: Διανομή του QBot malware μέσω Microsoft OneNote files
Η σελίδα στο GitHub περιλαμβάνει τα βήματα που χρειάζεστε για την ανάκτηση VM. Συνοπτικά, το script θα καθαρίσει τα κρυπτογραφημένα αρχεία μιας εικονικής μηχανής και στη συνέχεια θα προσπαθήσει να δημιουργήσει ξανά το αρχείο .vmdk της εικονικής μηχανής χρησιμοποιώντας το μη κρυπτογραφημένο flat file.
Αν η διαδικασία είναι επιτυχημένη, μπορείτε να καταχωρήσετε ξανά την εικονική μηχανή στο VMware ESXi για να αποκτήσετε ξανά πρόσβαση στο VM.
Πριν από τη χρήση αυτού του script για το ESXiArgs ransomware, η CISA συνιστά ανεπιφύλακτα στους διαχειριστές να το ελέγξουν καλά και να καταλάβουν πώς λειτουργεί για να βεβαιωθούν ότι δεν θα αντιμετωπίσουν περιττές δυσκολίες. Παρόλο που το εργαλείο δεν θα πρέπει να οδηγήσει σε ανεπιθύμητα αποτελέσματα, συνιστάται η δημιουργία αντιγράφων ασφαλείας πριν από την έναρξη της διαδικασίας ανάκτησης – για παν ενδεχόμενο!
“Ενώ η CISA εργάζεται για να διασφαλίσει ότι scripts, όπως αυτό, είναι ασφαλή και αποτελεσματικά, αυτό το script παραδίδεται χωρίς εγγύηση“, προειδοποιεί η CISA. “Μην χρησιμοποιείτε αυτό το script χωρίς να κατανοήσετε πώς μπορεί να επηρεάσει το σύστημά σας. Η CISA δεν αναλαμβάνει ευθύνη για ζημιές που προκαλούνται από αυτό το script“.
Δείτε επίσης: Royal Ransomware: Linux έκδοση στοχεύει VMware ESXi servers
Ransomware
Το Ransomware είναι ένας τύπος κακόβουλου λογισμικού που χρησιμοποιείται από εγκληματίες του κυβερνοχώρου για την απαίτηση χρημάτων από τα θύματα. Παρόλο που οι επιθέσεις ransomware μπορεί να φαίνονται τρομακτικές, υπάρχουν μέτρα που μπορούν να λάβουν τόσο οι επιχειρήσεις όσο και οι ιδιώτες για να προστατευτούν από τέτοιου είδους επιθέσεις, όπως η ενημέρωση με διορθώσεις ασφαλείας και λογισμικό προστασίας από ιούς, η ευαισθητοποίηση σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου ή συνδέσμους και η ύπαρξη λύσεων δημιουργίας αντιγράφων ασφαλείας σε περίπτωση που η ανάκτηση καταστεί αναγκαία μετά την εκδήλωση μιας επίθεσης.
Πηγή: www.bleepingcomputer.com