パッチが適用されていない数千台の古い VMare ESXi サーバーに対する深刻なサイバー攻撃の間、多くの仮想マシンが感染し、ESXiArgs ランサムウェアで暗号化されました。 ESXiArgs-Recover は、いくつかのケースですでにデータを回復できる CISA ツールです。
CISA は、一部の企業が身代金を支払わずにファイルの回復に成功したことを報告していることを認識しています。 CISA は、Enes Sonmez と Ahmet Aykac によるチュートリアルを含む、公開されているリソースに基づいてこのツールをコンパイルしました。 このツールは、マルウェアによって暗号化されていない仮想ディスクから仮想マシンのメタデータを再構築します.
これは、VMware が攻撃について現在述べていることです。
VMware は、過去数日間の観察結果についてコメントしており、現在の知識によると、長い間知られている脆弱性のみが攻撃に使用されていると述べています。 ただし、より詳細な仕様は作成されませんでした。 この点で、CVE-2021-21974 に加えて、既にパッチが適用されている他のセキュリティ ギャップも使用される可能性を排除することはできません。
エラーのない暗号化により、すでに感染したシステムを復元できないという兆候が現在多く見られますが、スクリプトに基づいて個別のケースをクリーンアップできた可能性があります。
BSI によると、ドイツ国内の標的への攻撃は確実に確認されています。 今週、サーバーへの攻撃が行われた後、いくつかのドイツの機関が BSI に報告しました。 同時に、ドイツの BSI によると、潜在的に脆弱な標的の数が減少しました。 これは、その間にこれらのシステムにパッチが適用されたか、インターネットからのアクセスが制限されたことを示しています。
ESXiArgs リカバリ ツール
BSI が報告しているように、CISA は、場合によっては ESXiArgs 攻撃の一部として暗号化されたシステムを復元できるスクリプトを公開しました。 このツールは、さまざまなソースの調査結果に基づいています。 ESXiArgs-Recover は、企業が ESXiArgs ランサムウェア攻撃の影響を受けた仮想マシンの回復を試みるために使用できるツールです。
これに関しては確定 フランスの CERT (CERT-FR)特に構成ファイル (.vmdk) のみが暗号化され、拡張子が .args に変更されている場合は、回復の可能性があります。 テストに成功したいくつかの手順が文書化されています.
GitHub.com の ESXiArgs リカバリ ツールに移動します。