Новости Новая версия программы-вымогателя ESXiArgs предотвращает любую возможность восстановления данных

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022

Виртуальные машины в опасности, а специалисты бессильны.​


t4fxbmyn1lyvsixyhzbb72o50ezwidym.png


Новые атаки программы-вымогателя ESXiArgs теперь шифруют больше данных, что значительно усложняет, если не делает невозможным, восстановление зашифрованных виртуальных машин Для просмотра ссылки Войди или Зарегистрируйся ESXi.

3 февраля, в результате масштабной атаки вымогателей Для просмотра ссылки Войди или Зарегистрируйся более 3000 серверов VMware ESXi. Злоумышленники использовали программу ESXiArgs.

В предварительных отчётах указывалось, что устройства были взломаны с использованием старых уязвимостей VMware SLP. Однако некоторые жертвы заявили, что SLP был отключен на их устройствах, но доступ всё равно был получен, а данные зашифрованы. Вредоносный скрипт шифровал файлы виртуальных машин VMware ESXi со следующими расширениями: vmdk, vmx, vmxf, vmsd, vmsn, vswp, vmss, nvram, vmem.

В атаке 3 февраля, как обнаружили эксперты, механизм шифрования был далёк от идеала. Из-за неоптимально настроенного параметра «size_step», призванного ускорить процесс шифрования, файлы размером до 128 МБ кодировались эффективно, а вот более крупные уже нет. Всё потому, что алгоритм шифрует данные со определённым шагом, который вычисляется из размера самого файла.

Например, файл размером 4,5 ГБ зашифровался бы не полностью. На 1 МБ зашифрованных данных приходилось бы 45 МБ незашифрованных. А для файлов ещё большего размера, например, 450 ГБ, объём пропущенных данных возрастает ещё сильнее. В связи с этим, к концу процесса довольно много данных в файле остаётся незашифрованными, а значит, его возможно восстановить с помощью обратного алгоритма.

Исследователи кибербезопасности из Для просмотра ссылки Войди или Зарегистрируйся уже разработали метод восстановления виртуальных машин, опирающихся на этот недостаток шифровальщика и Для просмотра ссылки Войди или Зарегистрируйся свой скрипт для всех желающих.

Однако 8 февраля началась вторая волна атак программ-вымогателей ESXiArgs. Новая версия имеет модифицированную процедуру шифрования, которая шифрует гораздо больше данных из-за фиксированного значения «size_step» = 1. То есть вне зависимости от размера файла, ровно половина данных будет зашифрована. Значит восстановить такие файлы, скорее всего, уже не выйдет.


7byywr34um2kbidocpyomij7nckg3d7v.png

Исходный сценарий слева, новый сценарий справа Что ещё более тревожно в новой волне атак, — злоумышленникам удаётся успешно взламывать сервера, на которых отключен SLP. Специалисты пока не могут понять, как это возможно. Вероятно, хакеры нашли какой-то другой способ для компрометации устройств.

Представители CISA рекомендуют опробовать их скрипт для восстановления в любом случае, если данные были зашифрованы ESXiArgs. Однако маловероятно, что скрипт сработает, если при атаке использовалась новая версия шифровальщика.
 
Источник новости
www.securitylab.ru

Похожие темы