W ostatnich tygodniach ataki typu ransomware na serwery ESXi były głównym obiektem dyskusji w świecie cyberbezpieczeństwa. Było to opisywane przez nas w jednym z poprzednich wpisów (Ataki ransomware wykorzystujące podatność w VMWare ESXi). Niedawno zaobserwowano nową falę ataków, które wykorzystują bardziej zaawansowane metody szyfrowania plików, wskutek czego dane są prawie niemożliwe do odzyskania.
Ataki związane z podatnością CVE-2021-21974 opierały się przede wszystkim na luce dotyczącej protokołu VMware SLP. W nowej fali wspomnianych naruszeń pojawia się głównie jedna zasadnicza różnica w porównaniu do wcześniejszych ataków. Chodzi o sam proces szyfrowania, a konkretnie o zmianę skryptu szyfrującego. Szyfrowana jest większa część plików o dużych rozmiarach. Mianowicie skrypt używany przez atakujących szyfruje 50% danych plików, które rozmiarem przekraczają 128 MB. Skutkuje to tym, że są one praktycznie niemożliwe do odzyskania. Zostało to odkryte, kiedy administratorzy nie byli w stanie odzyskać danych za pomocą skryptów dostarczonych w międzyczasie przez CISA (Cybersecurity and Infrastructure Security Agency), które wcześniej działały bez problemów. Dodatkowo, występuje niewielka zmiana w notatce atakujących – usunięto adres portfela Bitcoin, aby zmniejszyć ryzyko namierzenia przez analityków i śledczych.
Niepojący jest jednak fakt, że w kilku nowych, analizowanych dotychczas przypadkach, nie wykryto błędu w konfiguracji SLP. Uznawano dotychczas, że aby ochronić się przed atakiem wystarczy wyłączyć powiązane opcje i serwisy, które były punktem wejścia atakujących. W przypadku nowych metod ofiary przyznają, że pomimo wyłączenia stosownych ustawień, ich serwery nadal zostały skompromitowane. Ponadto szukano pliku vmtool.py, używanego wcześniej jako skryptu umożliwiającego „backdoor” i również nie znaleziono śladów.
Nadal obowiązują zalecenia, aby stosować skrypt odzyskujący udostępniony przez CISA, ale są niewielkie szanse, że on zadziała, jeśli ktoś jest ofiarą nowej metody ataków. Pomocy można szukać na forach tematycznych, gdzie jest aktualnie wiele aktywnych wątków związanych z tym tematem.
Źródła:
New ESXiArgs ransomware version prevents VMware ESXi recovery
VMware warns admins to patch ESXi servers, disable OpenSLP service
Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.
