Binlerce eski, yama uygulanmamış VMare ESXi sunucusuna yönelik şiddetli siber saldırılar sırasında, birçok sanal makineye ESXiArgs fidye yazılımı bulaştı ve şifrelendi. ESXiArgs-Recover, bazı durumlarda verileri kurtarabilen bir CISA aracıdır.
CISA, bazı şirketlerin fidye ödemeden dosyaları başarıyla kurtardığının farkındadır. CISA bu aracı, Enes Sönmez ve Ahmet Aykaç tarafından hazırlanan bir eğitim de dahil olmak üzere, halka açık kaynaklara dayanarak derledi. Bu araç, kötü amaçlı yazılım tarafından şifrelenmemiş sanal disklerden sanal makine meta verilerini yeniden oluşturur.
VMware'in şu anda saldırı hakkında söylediği şey bu
VMware, geçtiğimiz günlerde yaptığı gözlemleri yorumladı.Şirket, mevcut bilgilere göre saldırılar için yalnızca uzun süredir bilinen güvenlik açıklarının kullanıldığını belirtiyor. Ancak, daha ayrıntılı bir şartname yapılmadı. Bu bağlamda, CVE-2021-21974'e ek olarak, halihazırda yamalanmış olan diğer güvenlik açıklarının da kullanılacağı göz ardı edilemez.
Halihazırda virüs bulaşmış sistemlerin hatasız şifreleme nedeniyle artık geri yüklenemeyeceğine dair birçok gösterge olsa da, komut dosyasına dayalı olarak yalıtılmış vakaları temizlemek mümkün olabilir.
BSI'a göre: Almanya'daki hedeflere yönelik saldırılar kesin olarak doğrulandı. Bu hafta, birkaç Alman kurumu, sunucularına yapılan saldırıların ardından BSI'ya rapor verdi. Aynı zamanda, Almanya'daki BSI'ya göre potansiyel olarak savunmasız hedeflerin sayısı azaldı. Bu, bu sistemlere bu arada yama yapıldığını veya İnternet'ten erişilebilirliklerinin kısıtlandığını gösterir.
ESXiArgs kurtarma aracı
BSI'nın bildirdiği gibi CISA, bazı durumlarda ESXiArgs saldırılarının bir parçası olarak şifrelenmiş sistemleri geri yükleyebilen bir komut dosyası yayınladı. Araç, çeşitli kaynakların bulgularına dayanmaktadır. ESXiArgs-Recover, şirketlerin ESXiArgs fidye yazılımı saldırılarından etkilenen sanal makineleri kurtarmaya çalışmak için kullanabilecekleri bir araçtır.
Bu konuda teyit Fransız CERT (CERT-FR)özellikle yalnızca yapılandırma dosyaları (.vmdk) şifrelenmişse ve .args uzantısıyla yeniden adlandırılmışsa, kurtarma şansı vardır. Başarıyla test edilmiş birkaç prosedür belgelenmiştir.
GitHub.com'da ESXiArgs kurtarma aracına gidin