Noua versiune de ransomware ESXiArgs împiedică recuperarea mașinilor virtuale VMware ESXi
https://www.bleepingcomputer.com
Atacurile cu un noul tip de ransomware ESXiArgs criptează un volum tot mai mare de date făcând imposibilă recuperarea mașinilor virtuale VMware ESXi criptate.
Atacul a vizat serverele ESXi expuse în internet. Au fost exploatate vulnerabilitățile din cadrul serviciului VMware SLP.
Atacul urmărește criptarea echipamentelor prin intermediul unui script encrypt.sh căutând mașini virtuale care au următoarele extensii:
- .vmdk
- .vmx
- .vmxf
- .vmsd
- .vmsn
- .vswp
- .vmss
- .nvram
- .vmem
Pentru fiecare fișier găsit, scriptul verifică dimensiunea acestuuia și, dacă fișierul este mai mic de 128 MB, îl criptează integral în pachete de 1 MB.
Specialiștii au descoperit un alt val de atacuri cu ransomware-ul ESXiArgs care include o metodă de criptare modificată ducând la mult mai multe date criptate în fișiere mai mari.
Administratorilor li se recomandă dezactivarea serviciului SLP și utilizarea scriptului pus la dispoziție de specialiști pentru recupararea serverelor ESXi criptate.
Sursă: https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/
