Bu uzun sürmedi.
VMware ESXi sunucu sahiplerinin fidye yazılımına bulaşmasına izin veren betik (yeni sekmede açılır) Saldırganlar şifreleyiciyi güncelledikleri ve sahip olduğu kusuru yamaladıkları için dosyaları geri yüklemek artık işe yaramıyor. Şimdi, uç nokta koruması olmayanlar, tehdit aktörlerinden şifre çözme anahtarını almadan büyük olasılıkla dosyaları geri yükleyemeyecekler.
Haber tarafından doğrulandı BleepingBilgisayar (yeni sekmede açılır)araştırmacıları şifreleyicinin yeni elde edilmiş örneklerini analiz etti.
Eski bir kusuru kötüye kullanmak
Geçen hafta sonlarında, birkaç Avrupa ülkesinin yanı sıra ABD ve Kanada’daki ulusal siber güvenlik kurumları, VMware’in ESXi sunucularına yönelik yaygın, yarı otomatik bir saldırı konusunda uyarıda bulundu. Saldırganlar, VMware’in iki yıl önce yamaladığı bir kusura karşı savunmasız olan 3.000’den fazla uç nokta buldu (basım zamanında) ve bu kusuru ESXiArgs fidye yazılımını dağıtmak için kullandı.
Saldırıya uğrayan sunucular çoğunlukla Avrupa’da (İtalya, Fransa, Finlandiya), aynı zamanda ABD ve Kanada’da bulunuyordu. İddiaya göre en çok Fransa’daki işletmeler etkilendi.
Ülkenin ulusal hükümet bilgisayar güvenliği olay müdahale ekibi CERT-FR, saldırının yarı otomatik olduğunu ve CVE-2021-21974’e karşı savunmasız sunucuları hedef aldığını söyledi. Açık, tehdit aktörlerinin uzaktan kod yürütmesine izin veren bir OpenSLP HeapOverflow güvenlik açığı olarak tanımlanıyor.
Ancak kısa bir süre sonra, araştırmacılar şifreleyicinin kusurlu olduğunu keşfettiler ve büyük dosyaları şifreleme sürecinde büyük bölümlerini atladılar. Bu, YoreGroup Tech Team’den iki araştırmacıya çalışacakları çok sayıda şifrelenmemiş dosya sağladı ve bu da dosyaların şifresini çözmenin ve güvenliği ihlal edilmiş cihazlara erişimi geri yüklemenin bir yolunu bulmalarına yardımcı oldu.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) daha sonra araya girerek işi otomatikleştirmek için bir komut dosyası oluşturdu ve bunu GitHub’da paylaştı.
Ancak iyi haber uzun sürmedi, çünkü tehdit aktörleri artık şifreleyicinin kusuru giderilmiş güncellenmiş bir sürümünü dağıtmaya başladı. Yine de herkes, her ihtimale karşı kurbanlara CISA’nın senaryosunu denemelerini ve kullanmalarını tavsiye ediyor.
