Durante los graves ataques cibernéticos en miles de servidores VMare ESXi más antiguos y sin parches, muchas máquinas virtuales se infectaron y cifraron con el ransomware ESXiArgs. ESXiArgs-Recover es una herramienta CISA que ya ha podido recuperar datos en algunos casos.
CISA es consciente de que algunas empresas han informado sobre la recuperación exitosa de archivos sin pagar un rescate. CISA compiló esta herramienta basándose en recursos disponibles públicamente, incluido un tutorial de Enes Sonmez y Ahmet Aykac. Esta herramienta reconstruye metadatos de máquinas virtuales a partir de discos virtuales que no fueron encriptados por el malware.
Esto es lo que dice VMware actualmente sobre el ataque
VMware ha comentado sobre las observaciones de los últimos días, la compañía señala que, según el conocimiento actual, solo las vulnerabilidades que se conocen desde hace mucho tiempo se utilizan para los ataques. Sin embargo, no se hizo una especificación más detallada. En este sentido, no se puede descartar que, además de la CVE-2021-21974, también se aprovechen otros gaps de seguridad ya parcheados.
Si bien actualmente hay muchos indicios de que los sistemas que ya han sido infectados ya no se pueden restaurar debido al cifrado sin errores, es posible que se hayan podido limpiar casos aislados según el script.
Según el BSI: Los ataques contra objetivos en Alemania han sido definitivamente confirmados. Esta semana, varias instituciones alemanas informaron al BSI después de que se produjeran ataques a sus servidores. Al mismo tiempo, el número de objetivos potencialmente vulnerables disminuyó según el BSI en Alemania. Esto indica que estos sistemas han sido parcheados mientras tanto o que su accesibilidad desde Internet ha sido restringida.
Herramienta de recuperación de ESXiArgs
Como informa BSI, CISA ha publicado un script que puede, en algunos casos, restaurar sistemas que fueron encriptados como parte de los ataques ESXiArgs. La herramienta se basa en los hallazgos de varias fuentes. ESXiArgs-Recover es una herramienta que las empresas pueden usar para intentar recuperar las máquinas virtuales afectadas por los ataques del ransomware ESXiArgs.
Al respecto confirmó el CERT francés (CERT-FR)que existe la posibilidad de recuperación, especialmente si solo los archivos de configuración (.vmdk) se han cifrado y renombrado con la extensión .args. Se documentan varios procedimientos probados con éxito.
Vaya a la herramienta de recuperación de ESXiArgs en GitHub.com