10/02/23
Новые атаки программы-вымогателя ESXiArgs теперь шифруют больше данных, что значительно усложняет, если не делает невозможным, восстановление зашифрованных виртуальных машин VMware ESXi.
3 февраля, в результате масштабной атаки вымогателей было зашифровано более 3000 серверов VMware ESXi. Злоумышленники использовали программу ESXiArgs. Об этом пишет Securitylab.
В предварительных отчётах указывалось, что устройства были взломаны с использованием старых уязвимостей VMware SLP. Однако некоторые жертвы заявили, что SLP был отключен на их устройствах, но доступ всё равно был получен, а данные зашифрованы. Вредоносный скрипт шифровал файлы виртуальных машин VMware ESXi со следующими расширениями: vmdk, vmx, vmxf, vmsd, vmsn, vswp, vmss, nvram, vmem.
В атаке 3 февраля, как обнаружили эксперты, механизм шифрования был далёк от идеала. Из-за неоптимально настроенного параметра «size_step», призванного ускорить процесс шифрования, файлы размером до 128 МБ кодировались эффективно, а вот более крупные уже нет. Всё потому, что алгоритм шифрует данные со определённым шагом, который вычисляется из размера самого файла.
Например, файл размером 4,5 ГБ зашифровался бы не полностью. На 1 МБ зашифрованных данных приходилось бы 45 МБ незашифрованных. А для файлов ещё большего размера, например, 450 ГБ, объём пропущенных данных возрастает ещё сильнее. В связи с этим, к концу процесса довольно много данных в файле остаётся незашифрованными, а значит, его возможно восстановить с помощью обратного алгоритма.
Исследователи кибербезопасности из CISA уже разработали метод восстановления виртуальных машин, опирающихся на этот недостаток шифровальщика и опубликовали свой скрипт для всех желающих.
Однако 8 февраля началась вторая волна атак программ-вымогателей ESXiArgs. Новая версия имеет модифицированную процедуру шифрования, которая шифрует гораздо больше данных из-за фиксированного значения «size_step» = 1. То есть вне зависимости от размера файла, ровно половина данных будет зашифрована. Значит восстановить такие файлы, скорее всего, уже не выйдет.
Что ещё более тревожно в новой волне атак, — злоумышленникам удаётся успешно взламывать сервера, на которых отключен SLP. Специалисты пока не могут понять, как это возможно. Вероятно, хакеры нашли какой-то другой способ для компрометации устройств.
Представители CISA рекомендуют опробовать их скрипт для восстановления в любом случае, если данные были зашифрованы ESXiArgs. Однако маловероятно, что скрипт сработает, если при атаке использовалась новая версия шифровальщика.
