ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), VMware ESXi fidye yazılımına yardım etmeyi amaçlayan GitHub’da bir komut dosyası yayınladı. (yeni sekmede açılır) saldırı kurbanları uç noktalarını yeniden inşa eder.
Son zamanlarda Avrupa ve Kuzey Amerika’da binlerce VMware ESXi sunucusu hedef alındı; ilk raporlar yaklaşık 500 kurbandan bahsediyor ve daha yeni değerlendirmeler bu sayıyı 2.800 olarak gösteriyor.
İsimsiz saldırganlar, şirket tarafından iki yıl önce yamalanan bilinen bir güvenlik açığı olan CVE-2021-21974’ü bulmak için VMware ESXi sunucularını taradı. Savunmasız olanlara fidye yazılımı bulaştı.
Başarısız şifreleme kampanyası
Bununla birlikte, fidye yazılımı sanal diskler için veri tutan düz dosyaları şifrelemediği için siber suç kampanyası çoğunlukla başarısız olmuş gibi görünüyor.
YoreGroup Tech Team’den iki araştırmacı, sanal makineleri yeniden oluşturmak için bu dosyaları kullanmanın bir yolunu buldu. Birçoğu sunucularını kurtarmak için kendi yöntemlerini kullanmakta başarılı olsa da, iddiaya göre süreç nispeten karmaşık, bu da CISA’nın devreye girip bir komut dosyasıyla süreci otomatikleştirmeye yardımcı olmasına neden oluyor.
Ajans, “CISA, bazı kuruluşların dosyaları fidye ödemeden kurtarmada başarılı olduğunu bildirdiğinin farkında. CISA, bu aracı, Enes Sönmez ve Ahmet Aykaç tarafından hazırlanan bir eğitim de dahil olmak üzere, halka açık kaynaklara dayanarak derledi.” “Bu araç, kötü amaçlı yazılım tarafından şifrelenmemiş sanal disklerden sanal makine meta verilerini yeniden oluşturarak çalışır.”
CISA, son derece yararlı olmakla birlikte, senaryonun yine de dikkatle değerlendirilmesi gerektiğini söylüyor. Yöneticiler, olası komplikasyonları ortadan kaldırmak için önce gözden geçirmelidir. Herhangi bir kurtarma işlemine girmeden önce dosyaların yedeklenmesi de memnuniyetle karşılanır.
“CISA, bunun gibi komut dosyalarının güvenli ve etkili olmasını sağlamak için çalışırken, bu komut dosyası, örtülü veya açık hiçbir garanti olmaksızın teslim edilir.” Ajans sonuçlandı. “Sisteminizi nasıl etkileyebileceğini anlamadan bu komut dosyasını kullanmayın. CISA, bu komut dosyasının neden olduğu zararlardan sorumlu değildir.”
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)