Европу и Украину «накрыло» хакерской атакой из-за вируса-шифровальщика: рассказываем, как защититься

3 февраля, в результате масштабной хакерской атаки, было зашифровано более 3000 серверов разных компаний по всему миру. По разным оценкам в зоне риска — 18 тысяч серверов и тысячи компаний, в том числе и в Украине. Злоумышленники используют вирус-шифровальщик ESXiArgs, атакующий серверы VMware ESXi. 

Облачный оператор GigaCloud рассказал, что это за вирус, кто находится под угрозой, и поделился инструкцией, как защитить свои данные от вредоносного ПО.

Что такое ESXiArgs

ESXiArgs — это криптовымогатель, который шифрует данные серверов на основе гипервизора VMware ESXi, а затем подменяет сообщения на входе, заменяя его своим с требованием выкупа в несколько биткойнов.

Вредоносное ПО зашифровало файлы с расширениями .vmxf, .vmx, .vmdk, .vmsd и .nvram на скомпрометированных серверах ESXi, и создало файл .args для каждого зашифрованного документа с метаданными (вероятно, необходимыми для расшифровки).

В зараженных системах ESXiArgs оставлена записка с требованием выкупа в размере $50 тыс. в биткойнах под названием ransom.html и How to Restore Your Files.html в формате .html или .txt.

Специалисты по кибербезопасности заявляют, что расшифровать файлы невозможно.

Когда появилась уязвимость

Активность ESXiArgs была зафиксирована еще осенью 2020 года. Тогда компания VMware выпустила патч для устранения одной из уязвимостей, но он был неполным и его можно было обойти.

Впоследствии вышел второй патч, полностью устранивший уязвимость, связанную с возможностью бесплатного использования (use-after-free, UAF). Она получила код CVE-2020-3992. В конце концов VMware выпустила третий патч, полностью устраняющий переполнение динамической памяти. Ему был присвоен код CVE-2021-21974.

В феврале 2023 года, то есть через два года после обнаружения угрозы, хакеры использовали уязвимость, чтобы атаковать незащищенные серверы.

Кто в зоне риска

В первую очередь атака затронула и может затронуть компании, использующие устаревшие версии ESXi — от 6.x и до 6.7, а также некоторые версии vSphere 7.0, которые не были обновлены до последнего исправления.

По оценкам Rapid7, это почти 18 581 сервер по всему миру.

Отметим, что для инфраструктуры в облаке GigaCloud шифрователь ESXiArgs не представляет никакой угрозы — команда поддерживает актуальные версии ПО и закрывает все уязвимости. Компания имеет самый высокий партнерский статус VMware Principal Partner, гарантирующий клиентам получение услуг на базе решений VMware.

Кто пострадал

Точное количество пострадавших серверов и компаний неизвестно, но их тысячи. Согласно данным Censys, только за первые три дня активности ESXiArgs в феврале 2023 года было зашифровано 3200 серверов:

• треть находилась во Франции;
• публично заявлено о случаях заражения Верховного суда штата Флорида;
• пострадали школы и университеты в Венгрии и Словакии;
• убытки понес бизнес в США, Италии, Германии;
• десятки случаев заражения серверов в Украине, но компании не заявляют об этом публично.

Как защититься

Эксперты рекомендуют обновить компоненты vSphere до последних доступных поддерживаемых выпусков — 7.0 и выше.

Также необходимо отключить службу OpenSLP в ESXi.

Также советуют на постоянной основе:

1. использовать поддерживаемые версии программного обеспечения VMware;
2. следить за обновлениями VMware;
3. использовать руководство по настройке безопасности vSphere для повышения безопасности IT-инфраструктуры;
4. контролировать доступ к интерфейсам управления IТ-инфраструктурой (не только vSphere);
5. использовать многофакторную аутентификацию и передовые методы авторизации;
6. подписаться на рассылку VMware Security Advisory для уведомления о проблемах;
7. проверить все уязвимые системы на наличие признаков компрометации.

Это общие советы, и применить их для всех пользователей решений VMware не разумно. Поскольку безопасность IT-инфраструктуры зависит от того, где именно она находится.