En ny variant af ESXiArgs gør recovery sværere

Ny variant kan kryptere større mængde data, mens der sås tvivl om hvilken sårbarhed der udnyttes.

Eksperter advarer om nye ESXiArgs ransomware-angreb ved hjælp af en opgraderet version, der gør det sværere at gendanne VMware ESXi virtuelle maskiner.

Det skriver Security Affairs og en række andre medier, efter at Bleeping Computer har fundet ud af, at bagmændene har forbedret krypteringsprocessen, så større mængder data krypteres. Det gør det meget sværere at gendanne de krypterede virtuelle maskiner.

Den nye variant af ESXiArgs ransomware blev opdaget mindre end en uge efter, at den første alarm blev udsendt af franske CERT og siden fulgt op af italienske CERT. Efterfølgende udsendte CISA og FBI et gendannelsesscript for at hjælpe de virksomheder, der har været ramt af ransomwarevarianten. 

Er det CVE-2021-21974, der udnyttes?

Angrebet udnytter angiveligt en heap-overflow-sårbarhed i VMware ESXi. Id-nummeret er CVE-2021-21974, hvilket afslører at sårbarheden har været kendt siden starten af 2021. Det var i februar 2021, at en rettelse blev udsendt, men antallet af sårbare ESXi-servere er tilsyneladende stadig så stort, at trusselsaktører har fundet det umagen værd at iværksætte udnyttelsesangreb og plante ransomware på serverne.

Ifølge Security Week har VMware imidlertid ikke bekræftet, at der er tale om udnyttelse af CVE-2021-21974. Sikkerhedsfirmaet GreyNoise peger på, at der er fundet flere OpenSLP-relaterede sårbarheder i ESXi i de seneste år. Ifølge GreyNoise kan enhver af dem være blevet udnyttet i ESXiArgs-angrebene, herunder CVE-2020-3992 og CVE-2019-5544, som stammer tilbage fra hhv. 2020 og 2019.

Security Week skriver, at FBI og CISA har kendt skabe til pt 3800 kompromitterede servere og tilføjer med henvisning til en en historie fra Reuters, at universiteter i USA og Europa er blandt ofrene.

Links:

https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-v...
https://www.bankinfosecurity.com/modified-esxiargs-ransomware-blocks-vmw...
https://www.networkworld.com/article/3687610/vmware-esxi-server-ransomwa...
https://www.securityweek.com/esxiargs-ransomware-hits-over-3800-servers-...
https://securityaffairs.com/142035/malware/esxiargs-ransomware-new-varia...

Keywords: