8 фев 2023 263

CISA выпустила сценарий восстановления после масштабных всемирных атак программ-вымогателей VMware ESXiArgs

Вчера на серверы VMware vSphere по всему миру были совершены крупномасштабные атаки программ-вымогателей ESXiArgs. Согласно сообщениям, целью было около 2800 серверов, хотя по большей части атаки оказались безуспешными, поскольку многие из них смогли восстановить свои данные. VMware в свою защиту заявила, что эксплойт не является новой уязвимостью нулевого дня, поскольку она уже исправила уязвимость в безопасности в самом 2021 году.

В бюллетене VMware повторила то же самое и поделилась своими выводами об атаке, порекомендовав клиентам обновить свои компоненты vSphere и предоставив дополнительные ресурсы для лучшего понимания кибератаки.

Мы хотели рассмотреть недавно зарегистрированные атаки программы-вымогателя ESXiArgs, а также предоставить некоторые рекомендации о действиях, которые заинтересованные клиенты должны предпринять для своей защиты.
VMware не нашла доказательств того, что неизвестная уязвимость (0-day) используется для распространения программы-вымогателя, используемой в этих недавних атаках. В большинстве отчетов говорится, что прекращение общей поддержки (EOGS) и/или устаревшие продукты подвергаются известным уязвимостям, которые ранее были устранены и раскрыты в рекомендациях по безопасности VMware (VMSA).
Помня об этом, мы рекомендуем клиентам выполнить обновление до последних доступных поддерживаемых выпусков компонентов vSphere для устранения известных на данный момент уязвимостей. Кроме того, VMware рекомендовала отключить службу OpenSLP в ESXi. В 2021 году ESXi 7.0 U2c и ESXi 8.0 GA начали поставляться с отключенной по умолчанию службой

— VMware.

Агентство кибербезопасности и безопасности инфраструктуры (CISA) также протянуло руку помощи в этом вопросе, выпустив сценарий «ESXiArgs-Recover», чтобы помочь пострадавшим пользователям противостоять атаке ESXiArgs. CISA объясняет, что инструмент был скомпилирован с использованием реконструированных метаданных виртуальных машин с тех виртуальных дисков, которые не были успешно зашифрованы во время вторжения вымогателей.

CISA заявила, что некоторые организации уже сообщают об успешном восстановлении файлов без уплаты выкупа. CISA разработала этот инструмент на основе общедоступных ресурсов, он работает путем восстановления метаданных виртуальной машины с виртуальных дисков, которые не были зашифрованы вредоносным ПО.

Вы можете перейти на страницу GitHub, где CISA предоставила подробные инструкции по применению сценария ESXiArgs-Recover.