Bei den schweren Cyberattacken auf tausende ältere, ungepatchte VMare ESXi-Server wurde viele virtuelle Maschinen mit der ESXiArgs-Ransomware infiziert und verschlüsselt. ESXiArgs-Recover ist ein Tool der CISA, das bereits in einigen Fällen die Daten wiederherstellen konnte.
Der CISA ist bekannt, dass einige Unternehmen von einer erfolgreichen Wiederherstellung von Dateien ohne Lösegeldzahlung berichtet haben. Die CISA hat dieses Tool auf der Grundlage öffentlich zugänglicher Ressourcen zusammengestellt, darunter ein Tutorial von Enes Sonmez und Ahmet Aykac. Dieses Tool rekonstruiert die Metadaten virtueller Maschinen von virtuellen Festplatten, die nicht von der Malware verschlüsselt wurden.
Das sagt VMware aktuell zur Attacke
VMware hat sich zu den Beobachtungen der vergangenen Tage geäußert Dabei stellt das Unternehmen fest, dass für die Angriffe nach bisherigen Erkenntnissen ausschließlich Schwachstellen genutzt werden, die bereits länger bekannt sind. Eine detailliertere Spezifikation erfolgte jedoch nicht. Insofern kann nicht ausgeschlossen werden, dass neben CVE-2021-21974 auch andere, bereits gepatchte Sicherheitslücken zum Einsatz kommen.
Während derzeit Vieles darauf hinweist, dass bereits infizierte Systeme aufgrund der fehlerfreien Verschlüsselung nicht mehr wiederhergestellt werden können, gelang möglicherweise die Bereinigung in vereinzelten Fällen auf Basis des Skripts.
Laut BSI: Definitiv bestätigt sind hingegen Attacken auf Ziele in Deutschland. In dieser Woche meldeten sich mehrere deutsche Institutionen beim BSI, nachdem Angriffe auf deren Server stattgefunden hatten. Gleichzeitig nahm die Anzahl der potenziell verwundbaren Ziele laut dem BSI in Deutschland ab. Dies deutet darauf hin, dass diese Systeme zwischenzeitlich gepatcht oder ihre Erreichbarkeit aus dem Internet eingeschränkt wurde.
ESXiArgs-Wiederherstellungs-Tool
Wie das BSI berichtet, hat die CISA ein Skript veröffentlicht, das Systeme, die im Rahmen der ESXiArgs-Angriffe verschlüsselt wurden, in einigen Fällen wiederherstellen kann. Das Tool basiert auf den Erkenntnissen verschiedener Quellen. ESXiArgs-Recover ist ein Tool, mit dem Unternehmen versuchen können, virtuelle Maschinen wiederherzustellen, die von den ESXiArgs-Ransomware-Angriffen betroffen sind.
In diesem Zusammenhang bestätigte das französische CERT (CERT-FR), dass insbesondere dann eine Chance zur Wiederherstellung bestehe, wenn lediglich Konfigurationsdateien (.vmdk) verschlüsselt und mit der Erweiterung .args umbenannt wurden. Mehrere erfolgreich erprobte Verfahren seien dokumentiert.
Zum ESXiArgs-Recover-Tool bei GitHub.com