Durante i gravi attacchi informatici a migliaia di vecchi server VMare ESXi privi di patch, molte macchine virtuali sono state infettate e crittografate con il ransomware ESXiArgs. ESXiArgs-Recover è uno strumento CISA che è già stato in grado di recuperare i dati in alcuni casi.
CISA è a conoscenza del fatto che alcune aziende hanno segnalato il recupero di file riuscito senza pagare un riscatto. CISA ha compilato questo strumento sulla base di risorse pubblicamente disponibili, incluso un tutorial di Enes Sonmez e Ahmet Aykac. Questo strumento ricostruisce i metadati della macchina virtuale dai dischi virtuali che non sono stati crittografati dal malware.
Questo è ciò che VMware dice attualmente sull'attacco
VMware ha commentato le osservazioni dei giorni scorsi, osservando che, secondo le attuali conoscenze, per gli attacchi vengono utilizzate solo vulnerabilità note da tempo. Tuttavia, non è stata fatta una specifica più dettagliata. A questo proposito, non si può escludere che, oltre a CVE-2021-21974, vengano utilizzate anche altre lacune di sicurezza che sono già state riparate.
Sebbene attualmente vi siano molte indicazioni che i sistemi che sono già stati infettati non possono più essere ripristinati a causa della crittografia priva di errori, potrebbe essere stato possibile ripulire casi isolati in base allo script.
Secondo il BSI: Gli attacchi contro obiettivi in Germania sono stati definitivamente confermati. Questa settimana, diverse istituzioni tedesche hanno riferito al BSI dopo che si erano verificati attacchi ai loro server. Allo stesso tempo, il numero di obiettivi potenzialmente vulnerabili è diminuito secondo il BSI in Germania. Ciò indica che questi sistemi sono stati patchati nel frattempo o che la loro accessibilità da Internet è stata limitata.
Strumento di recupero ESXiArgs
Come riporta BSI, CISA ha pubblicato uno script che può, in alcuni casi, ripristinare i sistemi che sono stati crittografati come parte degli attacchi ESXiArgs. Lo strumento si basa sui risultati di varie fonti. ESXiArgs-Recover è uno strumento che le aziende possono utilizzare per tentare di ripristinare le macchine virtuali interessate dagli attacchi ransomware ESXiArgs.
A questo proposito confermato il CERT francese (CERT-FR)che esiste una possibilità di ripristino, soprattutto se solo i file di configurazione (.vmdk) sono stati crittografati e rinominati con l'estensione .args. Sono documentate diverse procedure testate con successo.
Vai allo strumento di recupero ESXiArgs su GitHub.com