VMware 已警告稱,目前全球範圍內存在針對易受攻擊的 VMware ESXi 服務器的大規模全球勒索軟件活動。這家虛擬機管理程序製造商透露,威脅參與者正在利用其 ESXi 虛擬機管理程序和組件中存在兩年的漏洞來部署勒索軟件。
VMware ESXi 是一項服務,可讓公司託管多個運行不同操作系統的虛擬化系統單個物理服務器實例。上週末,一些客戶報告說,攻擊者使用名為“ESXiArgs”的勒索軟件變體感染了 3,200 多台未打補丁的 VMware ESXi 服務器。他們用它來加密存儲在易受攻擊的 ESXi 服務器上的.vmsd、.vmx、.nvra、.vmxf 和.vmdk 文件。
根據 法國計算機應急響應小組 CERT-FR,網絡犯罪分子正在利用 CVE-2021-21974 漏洞於 2021 年 2 月披露並修補。該漏洞的嚴重等級為 8.8,任何可以訪問同一網段的人都可以利用該漏洞。概念驗證漏洞代碼在過去兩年中一直公開可用。
網絡安全和基礎設施安全局 (CISA) 調查了該活動並向客戶推薦 升級到最新版本的 vSphere 組件。同時,VMware 建議客戶在舊版本的 ESXi 中禁用 OpenSLP 服務。
下載“ESXiArgs-Recover”腳本以從勒索軟件攻擊中恢復虛擬機
CISA 還發布了一個新的“ ESXiArgs-Recover”腳本幫助客戶從 ESXiArgs 勒索軟件攻擊中恢復虛擬機。 “CISA 知道一些組織報告稱在不支付贖金的情況下成功恢復了文件。 CISA 基於公開可用的資源編譯了該工具,包括 Enes Sonmez 和 Ahmet Aykac 的教程。該工具的工作原理是從未被惡意軟件加密的虛擬磁盤重建虛擬機元數據,”CISA 解釋說。