3 февраля, в результате масштабной хакерской атаки, было зашифровано более 3000 серверов разных компаний по всему миру. По разным оценкам в зоне риска — 18 тысяч серверов и тысячи компаний, в том числе и в Украине. Злоумышленники используют вирус-шифровальщик ESXiArgs, атакующий серверы VMware ESXi.
Облачный оператор GigaCloud рассказал, что это за вирус, кто находится под угрозой, и поделился инструкцией, как защитить свои данные от вредоносного ПО.
ESXiArgs — это криптовымогатель, который шифрует данные серверов на основе гипервизора VMware ESXi, а затем подменяет сообщения на входе, заменяя его своим с требованием выкупа в несколько биткойнов.
Вредоносное ПО зашифровало файлы с расширениями .vmxf
, .vmx
, .vmdk
, .vmsd
и .nvram
на скомпрометированных серверах ESXi, и создало файл .args
для каждого зашифрованного документа с метаданными (вероятно, необходимыми для расшифровки).
В зараженных системах ESXiArgs оставлена записка с требованием выкупа в размере $50 тыс. в биткойнах под названием ransom.html
и How to Restore Your Files.html
в формате .html
или .txt
.
Специалисты по кибербезопасности заявляют, что расшифровать файлы невозможно.
Активность ESXiArgs была зафиксирована еще осенью 2020 года. Тогда компания VMware выпустила патч для устранения одной из уязвимостей, но он был неполным и его можно было обойти.
Впоследствии вышел второй патч, полностью устранивший уязвимость, связанную с возможностью бесплатного использования (use-after-free, UAF). Она получила код CVE-2020-3992. В конце концов VMware выпустила третий патч, полностью устраняющий переполнение динамической памяти. Ему был присвоен код CVE-2021-21974.
В феврале 2023 года, то есть через два года после обнаружения угрозы, хакеры использовали уязвимость, чтобы атаковать незащищенные серверы.
В первую очередь атака затронула и может затронуть компании, использующие устаревшие версии ESXi — от 6.x и до 6.7, а также некоторые версии vSphere 7.0, которые не были обновлены до последнего исправления.
По оценкам Rapid7, это почти 18 581 сервер по всему миру.
Отметим, что для инфраструктуры в облаке GigaCloud шифрователь ESXiArgs не представляет никакой угрозы — команда поддерживает актуальные версии ПО и закрывает все уязвимости. Компания имеет самый высокий партнерский статус VMware Principal Partner, гарантирующий клиентам получение услуг на базе решений VMware.
Точное количество пострадавших серверов и компаний неизвестно, но их тысячи. Согласно данным Censys, только за первые три дня активности ESXiArgs в феврале 2023 года было зашифровано 3200 серверов:
Эксперты рекомендуют обновить компоненты vSphere до последних доступных поддерживаемых выпусков — 7.0 и выше.
Также необходимо отключить службу OpenSLP в ESXi.
Также советуют на постоянной основе:
Это общие советы, и применить их для всех пользователей решений VMware не разумно. Поскольку безопасность IT-инфраструктуры зависит от того, где именно она находится.
Сегодня мы поговорим о том, как выбрать лучшие курсы Power BI в Украине, особенно для…
В 2023 году во всех крупнейших регионах конкуренция за вакансию выросла на 5–12%. Не исключением…
Unicorn Hunter/Talent Manager Лина Калиш создала бесплатный трекер поиска работы в Notion, систематизирующий все этапы…
Edtech-стартап Mate academy принял решение отправить своих работников в десятидневный отпуск – с 25 декабря…
Служба безопасности Украины задержала в Киеве 46-летнего программиста, который за деньги устанавливал шпионские программы и…
IT-специалист Джордан Катлер создал и выложил на Github подборку разнообразных ресурсов, которые помогут достичь уровня…