В бюллетене VMware повторила то же самое и поделилась своими выводами об атаке, порекомендовав клиентам обновить свои компоненты vSphere и предоставив дополнительные ресурсы для лучшего понимания кибератаки.
Мы хотели рассмотреть недавно зарегистрированные атаки программы-вымогателя ESXiArgs, а также предоставить некоторые рекомендации о действиях, которые заинтересованные клиенты должны предпринять для своей защиты.
VMware не нашла доказательств того, что неизвестная уязвимость (0-day) используется для распространения программы-вымогателя, используемой в этих недавних атаках. В большинстве отчетов говорится, что прекращение общей поддержки (EOGS) и/или устаревшие продукты подвергаются известным уязвимостям, которые ранее были устранены и раскрыты в рекомендациях по безопасности VMware (VMSA).
Помня об этом, мы рекомендуем клиентам выполнить обновление до последних доступных поддерживаемых выпусков компонентов vSphere для устранения известных на данный момент уязвимостей. Кроме того, VMware рекомендовала отключить службу OpenSLP в ESXi. В 2021 году ESXi 7.0 U2c и ESXi 8.0 GA начали поставляться с отключенной по умолчанию службой
VMware не нашла доказательств того, что неизвестная уязвимость (0-day) используется для распространения программы-вымогателя, используемой в этих недавних атаках. В большинстве отчетов говорится, что прекращение общей поддержки (EOGS) и/или устаревшие продукты подвергаются известным уязвимостям, которые ранее были устранены и раскрыты в рекомендациях по безопасности VMware (VMSA).
Помня об этом, мы рекомендуем клиентам выполнить обновление до последних доступных поддерживаемых выпусков компонентов vSphere для устранения известных на данный момент уязвимостей. Кроме того, VMware рекомендовала отключить службу OpenSLP в ESXi. В 2021 году ESXi 7.0 U2c и ESXi 8.0 GA начали поставляться с отключенной по умолчанию службой
— VMware.
Агентство кибербезопасности и безопасности инфраструктуры (CISA) также протянуло руку помощи в этом вопросе, выпустив сценарий «ESXiArgs-Recover», чтобы помочь пострадавшим пользователям противостоять атаке ESXiArgs. CISA объясняет, что инструмент был скомпилирован с использованием реконструированных метаданных виртуальных машин с тех виртуальных дисков, которые не были успешно зашифрованы во время вторжения вымогателей.
CISA заявила, что некоторые организации уже сообщают об успешном восстановлении файлов без уплаты выкупа. CISA разработала этот инструмент на основе общедоступных ресурсов, он работает путем восстановления метаданных виртуальной машины с виртуальных дисков, которые не были зашифрованы вредоносным ПО.
Вы можете перейти на страницу GitHub, где CISA предоставила подробные инструкции по применению сценария ESXiArgs-Recover.