ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu hafta dünya çapında binlerce kuruluşu etkileyen ESXiArgs fidye yazılımı varyantının kurbanları için bir kurtarma komut dosyası yayınladı.
CISA’nın ESXiArgs-Kurtarma aracı, GitHub’da ücretsiz ve kuruluşlar, fidye yazılımı varyantının şifrelemiş olabileceği savunmasız VMware ESXi sunucularındaki yapılandırma dosyalarını kurtarmayı denemek için kullanabilir. Ajans, aracı kullanan bazı kuruluşların şifrelenmiş dosyalarını fidye ödemek zorunda kalmadan başarıyla kurtardığını belirtti.
Ancak aracı kullanmayı planlayan herhangi bir siber güvenlik ekibi, EXSIArgs’ın şifrelemiş olabileceği dosyaları kurtarmaya çalışmadan önce aracın nasıl çalıştığını anladığından emin olmalıdır.CISA uyardı. “CISA, ESXiArgs’tan etkilenen kuruluşların, uygun olup olmadığını belirlemek için beraberindeki README dosyasında sağlanan komut dosyasını ve kılavuzu değerlendirmesini önerir. [a] uygun”, kendi ortamları için kaydetti.
ESXiArgs, Fransa’nın Bilgisayar Acil Durum Müdahale Ekibinin (CERT) ilk olarak 3 Şubat’ta dünya çapında VMware ESXi hiper yöneticilerini hedef aldığını tespit ettiği bir fidye yazılımı çeşididir. Kötü amaçlı yazılım, 2 yıllık ve uzun süredir yama uygulanmış bir uzaktan kod yürütme güvenlik açığından yararlanır (CVE-2021-21974) ağ adreslerini çözmek için bir ESXi hizmeti olan Açık Hizmet Konum Protokolü’nde (OpenSLP).
ESXiArgs nedir?
ESXiArgs halihazırda ABD, Kanada ve diğer birçok ülkede 3.000’den fazla yama uygulanmamış sunucuya bulaştı. Kurbanlar, şifre çözme anahtarı için yaklaşık 2 Bitcoin (veya basın zamanında yaklaşık 22.800 $) fidye talebi aldıklarını bildirdi. Etkilenen kuruluşlar ayrıca, kampanyanın arkasındaki tehdit aktörünün kendilerini üç gün içinde ödeme yapmaları veya hassas bilgilerinin kamuya açıklanması riskini almaları konusunda uyardığını bildirdi.
ESXiArgs’ı analiz eden güvenlik araştırmacıları, kötü amaçlı yazılımın şifreleme sürecini, sistemi kullanılamaz hale getirmek için özellikle sanal makine dosyalarını hedefliyor olarak tanımlıyor. Bu haftanın başlarında bir uyarıda Rapid 7, kötü amaçlı yazılımın sanal makineleri kapatmaya çalıştığını bildirdi. belirli bir işlemi öldürmek G/Ç komutlarını işleyen sanal makine çekirdeğinde. Rapid7’ye göre bazı durumlarda, kötü amaçlı yazılım dosyaları şifrelemede yalnızca kısmen başarılı oldu ve kurbanlara verileri kurtarma şansı verdi.
Rapid7, 8 Şubat’ta yaptığı bir güncellemede, tehdit istihbaratının, ESXiArg operatörüne ek olarak birden çok fidye yazılımı grubunun CVE-2021-21974 ve diğer VMware ESXi güvenlik açıklarını hedef aldığını gösterdiğini söyledi.
Yayınlanmış Bilgilere Dayalı Kurtarma Aracı
CISA’nın kurtarma senaryosu, ESXiArgs kurbanlarının nasıl olabileceklerini gösteren iki güvenlik araştırmacısının – Enes Sönmez ve Ahmet Aykaç – çalışmasına dayanmaktadır. sanal makine meta verilerini yeniden yapılandırın fidye yazılımının şifreleyemediği disklerden.
CISA, “Bu komut dosyası, şifrelenmiş yapılandırma dosyalarını silmeye çalışmıyor, bunun yerine VM’lere erişimi sağlayan yeni yapılandırma dosyaları oluşturmaya çalışıyor” dedi. “CISA, bunun gibi komut dosyalarının güvenli ve etkili olmasını sağlamak için çalışırken, bu komut dosyası, örtülü veya açık hiçbir garanti olmaksızın teslim edilir.”
VMware, kuruluşları ESXiArgs’ın istismar ettiği kusur için iki yıl önce yayınladığı yamayı uygulamaya çağırdı. Geçici bir önlem olarak, kusuru düzeltmemiş kuruluşlar ESXi’nin hizmet konumu protokolünü (SLP) devre dışı bırakın VMware, ESXiArgs aracılığıyla saldırı riskini azaltmak için söyledi. Başka bir önlem: Mümkünse, Singapur’un 427 numaralı bağlantı noktasını (SLP’nin kullandığı) devre dışı bırakın. SingCERT bir bildirimde tavsiye etti.