A CISA és az FBI a jelenleg is zajló, „ESXiArgs” néven ismert zsarolóvírus kampányra reagálva útmutatót adott ki a fájlok helyreállításához, azonban a bűnözők időközben változtattak a tikosítási módszeren.
A kiberbűnözők zsarolóvírusok telepítésére hazsnálhatják a VMware ESXi szerverek ismert sebezhetőségeit, amelyeken javítatlan és elavult verziók futnak. Az ESXiArgs zsarolóprogram titkosítja az ESXi szerverek konfigurációs fájljait és ezzel használhatatlanná teszi a virtuális gépeket.
A CISA a github.com/cisagov/ESXiArgs-Recover címen tett közzé egy helyreállítási szkriptet, amellyel az áldozatul esett szervezetek megpróbálhatják helyreállítani a fájlokat.
Az ESXiArgs vírus az eddigi információk szerint már több, mint 3800 szervert támadott meg világszerte. A CISA és az FBI arra ösztönzi a VMware ESXi szervereket kezelő szervezeteket, hogy:
- frissítsék a szervereket a VMware ESXi szoftver legújabb verziójára,
- tiltsák le a Service Location Protocol (SLP) szolgáltatást, és
- győződjenek meg arról, hogy az ESXi hypervisor ne legyen elérhető az Internet irányából.
A megtámadott szervezeteknek a CISA és az FBI azt javasolja, hogy kövessék pontról pontra a CISA útmutatóját, és próbálják meg helyreállítani a fájlokhoz való hozzáférést (ez a CISA ígérete szerint frissítésre kerül, amint újabb információk válnak elérhetővé) az abban javasolt script segítségével.
| Fontos azonban megjegyzeni, hogy a szkript működéséért és az általa okozott esetleges károkért a CISA ─ így az NBSZ NKI sem vállal felelősséget. |
Az újabb támadások most már nagyobb mennyiségű adatot titkosítanak, ami sokkal nehezebbé (vagy lehetetlenné) teszi a titkosított VMware ESXi virtuális gépek helyreállítását.
A titkosító „encrypt.sh” kód az alábbi kiterjesztéseket keresi:
- .vmdk
- .vmx
- .vmxf
- .vmsd
- .vmsn
- .vswp
- .vmss
- .nvram
- .vmem
A titkosító kód minden egyes talált fájl esetében ellenőrzi a fájl méretét, és ha az kisebb, mint 128 MB, akkor 1 MB-os lépésekben titkosítja a teljes fájlt. A 128 MB-nál nagyobb fájlok esetében kiszámít egy „size_step” értéket, ami azt eredményezi, hogy váltakozva titkosítja az 1 MB-os adatmennyiségeket, illetve nem titkosítja az adatdarabokat (a size_step megabájtban kifejezett méretét).
Az encrypt.sh a következő ─ az olvashatóság érdekében kissé módosított ─ képletet használja annak meghatározására, hogy milyen size_stepet kell használni:
size_step=((($size_in_kb/1024/100)-1))
Ez azt jelenti, hogy egy 4,5 GB-os fájl esetében a size_step értéke ’45’, ami azt eredményezi, hogy a titkosító váltakozva titkosítja a fájl 1 MB-ját és utána kihagy 45 MB-ot. Amint láthatjuk, elég sok adat marad titkosítatlanul, mire a folyamat befejeződik. Egy 450 GB-os fájl esetében a kihagyott adatok mennyisége drámaian megnő, a size_step értéke „4607” lesz, és váltakozva titkosít 1 MB és 4,49 GB adat kihagyásával. A titkosítatlan adatok e nagy darabjai miatt a kutatók kidolgoztak egy módszert a virtuális gépek helyreállítására a titkosítatlan fájlok felhasználásával.
A CISA által készített helyreállító szkript később automatizálta ezt a helyreállítási folyamatot.
Azonban 2023 február 8-án elindult egy második támadási hullám, amely sokkal több adatot titkosít a nagyméretű fájlokban. A titkosító algoritmus nem változott, de az encrypt.sh script ‘size_step’ értékét egyszerűen 1-re állították az új verzióban. Ez a változtatás azt eredményezte, hogy először 1 MB-nyi adat kerül titkosításra, majd 1 MB-nyi adat kihagyásra, vagyis 50%-ban lesznek titkosítva a 128 MB-nál nagyobb fájlok. Ez a változás megakadályozza, hogy a korábbi helyreállító eszközök sikeresen helyreállítsák a gépeket, mivel a fájlok túl nagy része vált titkosítottá ahhoz, hogy használhatók legyenek.
Az új támadási hullám váltságdíjfizetési felszólításaiban már nem szerepelnek bitcoin címek, ami valószínűleg annak köszönhető, hogy a biztonsági kutatók gyűjtötték őket a váltságdíjfizetések nyomon követése érdekében.
A BleepingComputer továbbra is azt javasolja, hogy a titkosított ESXi szervereket a CISA helyreállítási scriptjének segítségével próbálják meg helyreállítani, azonban ez valószínűleg nem fog működni, ha a támadók már az új titkosítási folyamatot használják.
