Au cours des cyberattaques graves sur des milliers d'anciens serveurs VMare ESXi non corrigés, de nombreuses machines virtuelles ont été infectées et chiffrées avec le rançongiciel ESXiArgs. ESXiArgs-Recover est un outil CISA qui a déjà pu récupérer des données dans certains cas.
La CISA est consciente que certaines entreprises ont signalé une récupération de fichiers réussie sans payer de rançon. CISA a compilé cet outil sur la base de ressources accessibles au public, y compris un tutoriel d'Enes Sonmez et Ahmet Aykac. Cet outil reconstruit les métadonnées de la machine virtuelle à partir des disques virtuels qui n'ont pas été chiffrés par le logiciel malveillant.
Voici ce que dit actuellement VMware à propos de l'attaque
VMware a commenté les observations de ces derniers jours et note que, selon les connaissances actuelles, seules les vulnérabilités connues de longue date sont utilisées pour les attaques. Cependant, une spécification plus détaillée n'a pas été faite. À cet égard, il ne peut être exclu qu'en plus de CVE-2021-21974, d'autres failles de sécurité déjà corrigées soient également utilisées.
Bien qu'il existe actuellement de nombreuses indications que les systèmes qui ont déjà été infectés ne peuvent plus être restaurés en raison du cryptage sans erreur, il a peut-être été possible de nettoyer des cas isolés basés sur le script.
Selon le BSI : Les attaques contre des cibles en Allemagne ont été définitivement confirmées. Cette semaine, plusieurs institutions allemandes ont signalé au BSI des attaques sur leurs serveurs. Dans le même temps, le nombre de cibles potentiellement vulnérables a diminué selon le BSI en Allemagne. Cela indique que ces systèmes ont été corrigés entre-temps ou que leur accessibilité depuis Internet a été restreinte.
Outil de récupération ESXiArgs
Comme le rapporte le BSI, CISA a publié un script qui peut, dans certains cas, restaurer des systèmes chiffrés dans le cadre des attaques ESXiArgs. L'outil est basé sur les conclusions de diverses sources. ESXiArgs-Recover est un outil que les entreprises peuvent utiliser pour tenter de récupérer des machines virtuelles affectées par les attaques de ransomware ESXiArgs.
À cet égard confirmé le CERT français (CERT-FR)qu'il existe une chance de récupération, surtout si seuls les fichiers de configuration (.vmdk) ont été chiffrés et renommés avec l'extension .args. Plusieurs procédures testées avec succès sont documentées.
Accédez à l'outil de récupération ESXiArgs sur GitHub.com