Сейчас может быть невозможно восстановить данные после атак программ-вымогателей VMware.

Сейчас может быть невозможно восстановить данные после атак программ-вымогателей VMware.

9 февраля 2023 г.

Ну, это не заняло много времени.

Сценарий, позволяющий владельцам серверов VMware ESXi заразиться программой-вымогателем восстановить файлы уже не получится, так как злоумышленники обновили шифратор и исправили имевшуюся в нем уязвимость. Теперь те, у кого нет защиты конечной точки, скорее всего, не смогут восстановить файлы, не получив ключ расшифровки от злоумышленников.

Новость была подтверждена BleepingComputer, исследователи которого проанализировали свежеполученные образцы шифровальщика.

Злоупотребление старым недостатком

В конце прошлой недели национальные агентства кибербезопасности нескольких европейских стран, а также США и Канады предупредили о широкомасштабной полуавтоматической атаке на серверы VMware ESXi. Злоумышленники обнаружили более 3000 конечных точек (на момент написания статьи), которые были уязвимы для уязвимости, исправленной VMware два года назад, и использовали эту уязвимость для развертывания программы-вымогателя ESXiArgs.

Атакуемые серверы в основном находились в Европе (Италия, Франция, Финляндия), а также в США и Канаде. Утверждается, что больше всего пострадали предприятия во Франции.

Подробнее

> Массовая кибератака на серверы по всей Европе

> CISA считает, что у него есть решение для глобальных атак программ-вымогателей ESXi

> Лучшие брандмауэры: Будьте защищены в Интернете

Национальная правительственная группа реагирования на инциденты в области компьютерной безопасности страны, CERT-FR, заявила, что атака была полуавтоматической и нацелена на серверы, уязвимые для CVE-2021-21974. Уязвимость описывается как уязвимость OpenSLP HeapOverflow, позволяющая злоумышленникам выполнять код удаленно.

Но вскоре после этого исследователи обнаружили, что шифратор был неисправен и в процессе шифрования больших файлов пропускал большие части их. Это дало двум исследователям из технической группы YoreGroup множество незашифрованных файлов для работы, что помогло им разработать способ расшифровки файлов и восстановления доступа к скомпрометированным устройствам.

Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) позже вмешалось, создав скрипт для автоматизации работы и поделившись им на GitHub.

Но хороших новостей хватило ненадолго, поскольку теперь злоумышленники начали развертывать обновленную версию шифровальщика с устраненной уязвимостью. Тем не менее, все рекомендуют жертвам попробовать использовать скрипт CISA на всякий случай.

Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE