CISA считает, что у нее есть решение для глобальных атак программ-вымогателей ESXi
вычисления techradar.com Новости

CISA считает, что у нее есть решение для глобальных атак программ-вымогателей ESXi

8 февраля 2023 г.

Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) опубликовало на GitHub сценарий, призванный помочь VMware ESXi программы-вымогателя восстанавливают свои конечные точки.

Тысячи серверов VMware ESXi недавно были атакованы в Европе и Северной Америке, при этом в первоначальных отчетах упоминалось около 500 жертв, а в более новых оценках номер 2800.

Неназванные злоумышленники просканировали серверы VMware ESXi в поисках CVE-2021-21974 — известной уязвимости, которая была исправлена ​​компанией два года назад. Те, которые были уязвимы, оказались заражены программами-вымогателями.

Провал кампании по шифрованию

Однако кампания по борьбе с киберпреступностью, похоже, не увенчалась успехом, поскольку программа-вымогатель не шифровала плоские файлы, содержащие данные для виртуальных дисков.

Два исследователя из технической группы YoreGroup нашли способ использовать эти файлы. для восстановления виртуальных машин. Хотя многим удалось успешно использовать этот метод для восстановления своих серверов, этот процесс, как утверждается, относительно сложен, что побудило CISA вмешаться и помочь автоматизировать процесс с помощью сценария.

Подробнее

> Массовая кибератака поражает серверы по всей Европе

> Что такое программа-вымогатель и как она работает?

> Это лучшие службы защиты конечных точек вокруг

«CISA известно, что некоторые организации сообщают об успешном восстановлении файлов без уплаты выкупа. CISA разработала этот инструмент на основе общедоступных ресурсов, включая руководство Энеса Сонмеза и Ахмета Айкача», — говорится в сообщении агентства. «Этот инструмент работает, восстанавливая метаданные виртуальной машины с виртуальных дисков, которые не были зашифрованы вредоносным ПО».

Несмотря на то, что сценарий чрезвычайно полезен, он все же требует тщательного изучения, сообщает CISA. Администраторы должны сначала просмотреть его, чтобы устранить любые возможные осложнения. Резервное копирование файлов перед началом любого процесса восстановления также приветствуется.

"Несмотря на то, что CISA работает над тем, чтобы скрипты, подобные этому, были безопасными и эффективными, этот скрипт предоставляется без каких-либо явных или неявных гарантий". заключило агентство. «Не используйте этот сценарий, не понимая, как он может повлиять на вашу систему. CISA не несет ответственности за ущерб, причиненный этим сценарием».

Через: BleepingComputer

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE