ESXiArgs-ը թարմացված տարբերակով

ESXiArgs-ը թարմացված տարբերակով

Malware ESXiArgs-ի ստեղծողները, որոնք հարձակվում են VMware ESXi սերվերների վրա, թարմացրել են իրենց ծրագիը: Այժմ ծրագիրը կոդավորում է ավելի շատ տվյալներ, ինչը շատ ավելի բարդացնում կամ անհնար է դարձնում գաղտնագրված վիրտուալ մեքենաների ինքնուրույն վերականգնումը:

Հիշեցնեմ, որ հազարավոր VMware ESXi սերվերներ կոտրվել են նոր ESXiArgs-ի կողմից ՝ անցյալ շաբաթ զանգվածային հաքերային արշավի շրջանակներում: Հարձակվողներն օգտագործել են երկամյա խոցելիություն (CVE-2021-21974), որը թույլ է տվել նրանց կատարել հեռավոր հրամաններ խոցելի սերվերների վրա OpenSLP-ի միջոցով (Port 427):

Ասել է թե ՝ VMware-ի մշակողները շեշտել են, որ հաքերները հաստատ զրոյական օրվա խոցելիություններ չեն օգտագործում, իսկ OpenSLP-ն 2021 թվականից հետո ընդհանրապես լռելյայն անջատված է ։ Այսինքն ՝ չարագործները թիրախավորել են այնպիսի ապրանքներ, որոնք ” զգալիորեն հնացել են”, եւ այդպիսիք քիչ չեն եղել ։ Փորձագետների տվյալներով ՝ հաքերային հարձակման է ենթարկվել շուրջ 2800 սերվեր (անցյալ շաբաթ ընդհանուր առմամբ հաշվվել է մոտ 3200)

Մի քանի օր առաջ թվում էր, թե ամեն ինչ արդեն հետևում է,բայց ԱՄՆ ներքին անվտանգության նախարարությանը կից կազմակերպված կիբերանվտանգության և ենթակառուցվածքների պաշտպանության գործակալության (DHS CISA) փորձագետները ներկայացրեցին սցենար ՝ VMware ESXi կոդավորված սերվերներն ինքնուրույն վերականգնելու համար:

Փաստն այն է, որ չնայած շատ սարքեր կոդավորված էին, փորձագետները գրել են, որ ESXiArgs-ի վնասակար արշավն ընդհանուր առմամբ անհաջող էր, քանի որ Malvar-ը միայն մասամբ էր ծածկագրում մեծ ֆայլերը և մասնավորապես, հարձակվողներին չհաջողվեց ծածկագրել flat ֆայլերը, որտեղ պահվում են վիրտուալ սկավառակների տվյալները: Արդյունքում, ադմինիստրատորները հնարավորություն ստացան վերծանել տուժած սերվերները ՝ անվճար վերականգնելով իրենց վիրտուալ մեքենաներն ու տվյալները: Սակայն ուրախությունը վաղաժամ էր ։ Bleeping Computer-ի լրագրողները հայտնում են, որ սկսվել է ESXiArgs վարակների երկրորդ ալիքը, և հաքերներն այժմ օգտագործում են կոդավորման բարելավված ընթացակարգ, որը կոդավորում է շատ ավելի շատ տվյալներ խոշոր ֆայլերում:

Այսպիսով, նախկինում վնասատուն օգտագործում էր encrypt.sh սկրիպտը և հետևյալ բանաձևը (փոքր-ինչ փոփոխված է ընթեռնելիության համար) ՝ որոշելու համար, թե որ size_step-ը պետք է օգտագործվի <<size_step=((($size_in_kb/1024/100)-1))>>: Այժմ վնասակար ծածկագրիչը չի փոխվել, բայց  encrypt.sh սկրիպտից պարզվեց, որ size_step-ի բարդ հաշվարկը հանվել է: Նոր տարբերակում այն պարզապես դրված է “1”արժեքի վրա:

comparison 2

Փորձագետ Մայքլ Գիլեսպին լրագրողներին ասաց, որ այս փոփոխությունը կստիպի Malvar-ին փոխարինել   1 ՄԲ տվյալների կոդավորումը և 1 ՄԲ տվյալների բացթողումը: Այսպիսով, 128 ՄԲ-ից ավելի բոլոր ֆայլերն այժմ կոդավորված կլինեն տվյալների 50% – ով, ինչը ամենայն հավանականությամբ  դրանք կդարձնի ոչ պիտանի վերականգնման համար:

Նշենք, որ ավելի վաղ 450 ԳԲ և ավելի մեծ ֆայլերի համար բաց թողնված տվյալների քանակը կտրուկ աճել է, size_step-ը դառնում է 4607, այսինքն ՝ 1 ՄԲ կոդավորումը փոխարինվում էր 4,49 ԳԲ տվյալների բաց թողմամբ: Դրա շնորհիվ հնարավոր դարձավ վերականգնման գործիքների աշխատանքը։

Ակնհայտ է, որ  ESXiArgs-ի նորացված տարբերակը թողնում է մի փոքր գրության փոփոխված տարբերակը՝փրկագնի պահանջով: Տեքստում այժմ ներառված չէ Bitcoin հասցեն, և տուժողին խոստանում են տրամադրել այն ավելի ուշ: Ըստ երևույթին, հաքերները նկատել են, որ իրենց դրամապանակների հասցեները հավաքվել և վերահսկվում են տեղեկատվական անվտանգության մասնագետների կողմից:

new esxiargs ransom note

BleepingComputer-ը նախազգուշացնում է ևս մեկ ահազանգի մասին: Որոշ գաղտնագրող  զոհեր հայտնում են, որ SLP իրենց սերվերը ճշգրիտ անջատված է եղել, սակայն դա չի խանգարել հարձակվողներին կոտրել այն: Այժմ տուժածներն իրենց համակարգերում vmtool.py backdoor չեն հայտնաբերում ՝ ինչպես նախորդ հարձակումներում: