A VMware alertou sobre uma campanha global de ransomware em grande escala que atualmente visa servidores VMware ESXi vulneráveis em todo o mundo. O fabricante do hipervisor divulgou que os agentes de ameaças estão explorando uma vulnerabilidade de dois anos em seu hipervisor ESXi e componentes para implantar ransomware.
O VMware ESXi é um serviço que permite que as empresas hospedem vários sistemas virtualizados executando diferentes sistemas operacionais em uma única instância de servidor físico. No fim de semana, vários clientes relataram que invasores infectaram mais de 3.200 servidores VMware ESXi não corrigidos com uma variante de ransomware chamada “ESXiArgs”. Eles o usaram para criptografar arquivos.vmsd,.vmx,.nvra,.vmxf e.vmdk armazenados em servidores ESXi vulneráveis.
De acordo com Equipe francesa de resposta a emergências de computadores CERT-FR, os cibercriminosos estão aproveitando a falha CVE-2021-21974 que foi divulgada e corrigida em fevereiro de 2021. A vulnerabilidade tinha uma classificação de gravidade de 8,8 e poderia ser explorada por qualquer pessoa com acesso ao mesmo segmento de rede. O código de exploração de prova de conceito está disponível publicamente há dois anos.
Cybersecurity and Infrastructure Security Agency (CISA) investigou a campanha e recomenda clientes para atualizar para a versão mais recente dos componentes do vSphere. Enquanto isso, a VMware aconselha os clientes a desativar o serviço OpenSLP em versões mais antigas do ESXi.
Baixe o script “ESXiArgs-Recover” para recuperar VMs de ataques de ransomware
A CISA também lançou um novo “ ESXiArgs-Recover” para ajudar os clientes a recuperar máquinas virtuais dos ataques de ransomware ESXiArgs. “A CISA está ciente de que algumas organizações relataram sucesso na recuperação de arquivos sem pagar resgates. A CISA compilou esta ferramenta com base em recursos disponíveis publicamente, incluindo um tutorial de Enes Sonmez e Ahmet Aykac. Essa ferramenta funciona reconstruindo os metadados da máquina virtual a partir de discos virtuais que não foram criptografados pelo malware”, explicou a CISA.
Se você for afetado pelos ataques do ransomware ESXiArgs, poderá baixar o ferramenta de recuperação ESXiArgs do GitHub. Lembre-se de que o script cria novos arquivos de configuração que permitem que os clientes acessem as máquinas virtuais. No entanto, os administradores de TI devem avaliar a ferramenta de recuperação para determinar sua adequação para implementação em seu sistema.