Yeni Esxiargs fidye yazılımı saldırıları artık daha kapsamlı miktarda veriyi şifreliyor, bu da imkansız olmasa da, şifreli VMware ESXI sanal makinelerini kurtarmayı çok daha zorlaştırıyor.
Geçen Cuma, büyük ve yaygın bir otomatik fidye yazılımı saldırısı, yeni bir ESXiArgs fidye yazılımı kullanarak 3.000'den fazla internete maruz kalan VMware ESXI sunucularını şifreledi.
Ön raporlar, cihazların eski VMware SLP güvenlik açıkları kullanılarak ihlal edildiğini gösterdi. Bununla birlikte, bazı kurbanlar SLP'nin cihazlarında devre dışı bırakıldığını ve hala ihlal edildiğini ve şifrelendiğini belirtti.
Bir cihazı şifrelerken, bir 'encrypt.sh' komut dosyası aşağıdaki uzantılarla eşleşen sanal makine dosyalarını arar:
Bulunan her dosya için komut dosyası dosya boyutunu kontrol eder ve dosya 128 MB'den küçükse, dosyayı 1 MB'lık artışlarla şifreler.
Bununla birlikte, 128 MB'den büyük dosyalar için, şifrelemenin 1 MB veriyi şifreleme ve verilerin (megabayt cinsinden boyut_step) şifrelememesine neden olan bir 'size_step' hesaplar.
Encrypt.sh komut dosyası, hangi size_step'in kullanılması gerektiğini belirlemek için aşağıdaki formülü kullanır (okunabilirlik için biraz değiştirilmiş):
Bu, 4.5 GB'lık bir dosya için, '45'in bir size_step oluşturacağı anlamına gelir ve şifrelemenin dosyanın 1 MB'si şifrelenmesi ve 45 MB'lik dosyayı atlaması arasında geçiş yapmasına neden olur. Gördüğünüz gibi, bir dosyayı şifrelemeyi bitirdiği zamana göre biraz veri şifrelenmez.
450GB dosyası gibi daha büyük dosyalar için, atlanan veri miktarı önemli ölçüde artar, size_step '4607' haline gelir, şimdi 1MB şifreleme ve 4.49 GB veri atlama arasında değişir.
Bu büyük şifrelenmemiş veri parçaları nedeniyle, araştırmacılar sanal makinenin disk verilerinin depolandığı büyük ve öncelikle şifrelenmemiş düz dosyaları kullanarak sanal makineleri kurtarmak için bir yöntem tasarladılar.
CISA tarafından oluşturulan bir komut dosyası daha sonra bu kurtarma işlemini otomatikleştirdi.
Ne yazık ki, ikinci bir Esxiargs fidye yazılımı dalgası bugün başladı ve büyük dosyalarda çok daha fazla veri şifreleyen değiştirilmiş bir şifreleme rutini içeriyor.
BleepingComputer ilk olarak, ESXIARGS Destek Konusunda yayınlanan bir yönetici, sunucularının şifrelendiğini ve daha önce çalışan yöntemler kullanılarak kurtarılamadığını belirten ikinci dalgayı öğrendi.
Örnekleri BleepingComputer ile paylaştıktan sonra, şifrelemenin değişmediğini fark ettik, ancak encrypt.sh komut dosyasının 'size_step' rutini çıkarıldı ve yeni sürümde 1'e ayarlandı.
Bu değişiklik, ilk saldırı dalgasındaki orijinal enstrypt.sh size_step hesaplama (sol) arasında, ikinci dalgadaki yeni kabuk komut dosyası (sağ) arasında bir karşılaştırmada aşağıda gösterilmiştir.
Fidye yazılımı uzmanı Michael Gillespie, BleepingComputer'a bu değişikliğin şifrelemenin 1 MB veri şifrelenmesi ve 1 MB veri atlaması arasında geçiş yapmasına neden olduğunu söyledi.
128 MB üzerindeki tüm dosyalar artık verilerinin% 50'sini şifrelenecek ve bu da onları muhtemelen onaylanamaz hale getirecektir.
Bu değişiklik aynı zamanda önceki kurtarma araçlarının başarılı bir şekilde kurtarılmasını önler, çünkü düz dosyalar kullanılabilir olmak için çok fazla veriye sahip olacaktır.
Bu ikinci saldırı dalgası, aşağıda gösterildiği gibi fidye notuna bitcoin adresleri de dahil etmeyerek fidye notunda küçük bir değişiklik yaptı.
Bitcoin adreslerinin kaldırılması, güvenlik araştırmacıları tarafından fidye ödemelerini izlemek için toplandıkları için büyük olasılıkla.
Bununla birlikte, daha da ilgili olarak, yeni örnekleri paylaşan yönetici, sunucularında SLP devre dışı bırakıldıklarını ancak yine de tekrar ihlal edildiğini söyledi. Ayrıca önceki saldırılarda görülen VMTool.py Backdoor'u kontrol ettiler ve bulunamadı.
SLP devre dışı bırakıldığında, bu sunucunun nasıl ihlal edildiği konusunda daha da kafa karıştırıcı hale gelir.
BleepingComputer hala CISA'nın kurtarma komut dosyasını kullanarak şifreli ESXI sunucularını kurtarmayı öneriyor.
Bununla birlikte, yeni şifreleme rutini kullanılarak ikinci saldırı dalgasına enfekte olmanız artık işe yaramayacaktır.
ESXIARGS fidye yazılımında herhangi bir sorunuz veya desteğe ihtiyacınız varsa, forumlarımızda özel bir destek konusu var.
Masif Esxiargs Fidye Yazılımı Saldırısı Hedefleri VMware ESXI Sunucuları Dünya Çapında
CISA, Esxiargs fidye yazılımı kurbanları için kurtarma senaryosunu serbest bıraktı
VMware, ESXI sunucularını Patch, OpenSlp Hizmetini Devre Dışı Bırakma konusunda uyarıyor
Royal Ransomware hedeflerinin Linux sürümü VMware ESXI sunucuları
Ransomware'de Hafta - 3 Şubat 2023 - Bir karmaşa ile bitiyor
Kaynak: Bleeping Computer