Європу та Україну «накрило» хакерською атакою через вірус-шифрувальник: розповідаємо, як захиститися

3 лютого, внаслідок масштабної хакерської атаки, було зашифровано понад 3000 серверів різних компаній по всьому світу. За різними оцінками у зоні ризику — 18 тисяч серверів та тисячі підприємств, у тому числі і в Україні. Зловмисники використовують вірус-шифрувальник ESXiArgs, який атакує сервери VMware ESXi. 

Хмарний оператор GigaCloud розповів, що це за вірус, хто перебуває під загрозою та поділився інструкцією, як захистити свої дані від шкідливого ПЗ.

Що таке ESXiArgs

ESXiArgs — це крипто-вимагач, який шифрує дані серверів на основі гіпервізора VMware ESXi, а потім підміняє повідомлення на вході, замінюючи його своїм з вимогою викупу в кілька біткоїнів.

Шкідливе ПЗ зашифрувало файли з розширеннями .vmxf, .vmx, .vmdk, .vmsd та .nvram на скомпрометованих серверах ESXi та створило файл .args для кожного зашифрованого документа з метаданими (ймовірно, необхідними для розшифрування).

У заражених системах ESXiArgs залишив записку з вимогою викупу у розмірі $50 тис. в біткоїнах під назвою ransom.html та How to Restore Your Files.html у форматі .html або .txt.

Фахівці з кібербезпеки заявляють, що розшифрувати файли неможливо.

Коли з’явилася вразливість

Активність ESXiArgs зафіксували ще восени 2020 року. Тоді компанія VMware випустила патч для усунення однієї з вразливостей, але він був неповним і його можна було обійти.

Згодом вийшов другий патч, який повністю усунув вразливість, пов’язану з можливістю безплатного використання (use-after-free, UAF). Вона отримала код CVE-2020-3992. Врешті-решт VMware випустила третій патч, який повністю усуває переповнення динамічної пам’яті. Йому було присвоєно код CVE-2021-21974.

У лютому 2023 року, тобто через два роки після виявлення загрози, хакери використали вразливість, щоб атакувати незахищені сервери.

Хто в зоні ризику

У першу чергу атака зачепила та ще може вразити компанії, які використовують застарілі версії ESXi — від 6.x і до 6.7, а також деякі версії vSphere 7.0, які не було оновлені до останнього виправлення.

За оцінками Rapid7, це майже 18 581 сервер по всьому світу.

Зазначимо, що для інфраструктури у хмарі GigaCloud шифрувальник ESXiArgs не несе ніякої загрози — команда підтримує актуальні версії ПЗ та закриває усі вразливості. Компанія має найвищий партнерський статус VMware Principal Partner, який гарантує клієнтам отримання послуг на базі рішень VMware.

Хто постраждав

Точна кількість постраждалих серверів та компаній невідома, але їх тисячі. Згідно з даними Censys, лише за перші три дні активності ESXiArgs в лютому 2023 було зашифровано 3200 серверів:

• третина знаходилася у Франції;
• публічно заявлено про випадки зараження Верховного суду штату Флорида;
• постраждали школи та університети в Угорщині та Словаччині;
• поніз збитки бізнес в США, Італії, Німеччині;
• є десятки випадків зараження серверів в Україні, проте компанії не заявляють про це публічно.

Як захиститися

Експерти рекомендують оновити компоненти vSphere до останніх доступних підтримуваних випусків ― 7.0 та вище.

Також потрібно відключити службу OpenSLP в ESXi.

Також радять на постійній основі:

1. використовувати підтримувані версії програмного забезпечення VMware;
2. слідкувати за оновленнями VMware;
3. використовувати керівництво з налаштування безпеки vSphere, щоб підвищити безпеку IT-інфраструктури;
4. контролювати доступ до інтерфейсів управління ІТ-інфраструктурою (не тільки vSphere);
5. використовувати багатофакторну автентифікацію та передові методи авторизації;
6. підписатися на розсилку VMware Security Advisory для завчасного повідомлення про проблеми;
7. перевірити всі вразливі системи на наявність ознак компрометації.

Це загальні поради, та застосувати їх для усіх користувачів рішень VMware — не розумно. Оскільки безпека IT-інфраструктури залежить від того, де саме вона розміщена.