Эксперты Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA) подготовили скрипт для восстановления серверов VMware ESXi, которые оказались зашифрованы в результате недавних массовых атак шифровальщика ESXiArgs.
Напомню, что на прошлой неделе тысячи серверов VMware ESXi были взломаны новым вымогателем ESXiArgs в рамках масштабной хакерской кампании. Атакующие использовали уязвимость двухлетней давности (CVE-2021-21974), которая позволяла им выполнять удаленные команды на уязвимых серверах через OpenSLP (порт 427). При этом разработчики VMware подчеркивали, что хакеры точно не использовали каких-либо уязвимостей нулевого дня, а OpenSLP после 2021 года вообще отключен по умолчанию.
То есть злоумышленники нацеливались на продукты, которые «значительно устарели», и таких нашлось немало. По информации CISA, взлому подверглись около 2800 серверов, тогда как на прошлой неделе специалисты и вовсе насчитали около 3200.
Вскоре после начала атак технический директор Yöre Grup Энес Сонмез (Enes Sonmez) опубликовал масштабный гайд, в котором описал способ, позволяющий администраторам VMware расшифровать пострадавшие серверы, восстановив свои виртуальные машины и данные бесплатно.
Дело в том, что хотя многие устройства были зашифрованы, можно сказать, что вредоносная кампания в целом не увенчалась успехом: злоумышленникам не удалось зашифровать flat-файлы, где хранятся данные виртуальных дисков.
Однако описанный Сонмезом и его коллегами метод восстановления виртуальных машин из незашифрованных flat-файлов оказался для многих чересчур сложным. Поэтому эксперты CISA подготовили специальный скрипт для восстановления пострадавших серверов, с которым должно быть куда меньше проблем, так как он автоматизирует весь процесс.
«Этот инструмент работает путем восстановления метаданных виртуальной машины с виртуальных дисков, которые не были зашифрованы вредоносным ПО», — поясняют специалисты.
Также на GitHub также опубликовано пошаговое руководство по использованию этого скрипта. Перед началом восстановления CISA призывает администраторов просмотреть и изучить скрипт, чтобы понять, как он работает, и избежать возможных осложнений. Также настоятельно рекомендуется предварительно сделать резервные копии.
