Понад 3200 серверів VMware ESXi постраждали від нового вірусу-шифрувальника ESXiArgs в рамках масштабної хакерської атаки, попереджають хостингові компанії та французький CERT. Зловмисники використовують OpenSLP для виконання віддалених інструкцій на серверах, вразливих до вразливості дворічної давнини (CVE-2021-21974) (порт 427).
OpenSLP має баг динамічного переповнення пам’яті, яким можуть скористатися неавторизовані зловмисники для проведення швидких та ефективних атак. CVE-2021-21974 впливає на наступні системи: ESXi версій 7.x (до ESXi70U1c-17325551), 6.7.x (до ESXi670202102401-SG) та 6.5.x (до ESXi650-202102101-SG).
Важливо зазначити, що експлойт для цієї проблеми був доступний з весни 2021 року, невдовзі після того, як дефект було оприлюднено. Чому зловмисники почали використовувати цей баг тільки зараз, зовсім не очевидно.
Хакери зламують систему жертви, шифрують файли на сервері ESXi, а потім вимагають 50 000 доларів у біткоїнах у вимозі викупу, щоб звільнити дані.
Фахівці CERT-FR закликають всіх користувачів якнайшвидше встановити нещодавно випущені оновлення і перевірити всі вразливі системи на наявність ознак компрометації. Експерти радять, як мінімум, відключити OpenSLP в крайньому випадку.
Дослідники з провайдера хмарних послуг OVHcloud встановили, що причиною масових атак став нещодавній движок шифрування Nevada. За словами експертів, атаки “в основному спрямовані на сервери ESXi до версії 7.0 U3i через порт OpenSLP (427)”.
Деякі експерти припустили, що атаки могли бути здійснені за допомогою одного з варіантів програми-здирника Cheerscrypt, яка базується на опублікованому вихідному коді шифрувальника Babuk.
Зрештою, схоже, що за атаки відповідальна нова програма під назвою ESXiArgs, що доводить, що ці версії були помилковими.
За даними Bleeping Computer, жертви зловмисників активно спілкуються і шукають допомоги на форумах. Більшість постраждалих фірм, згідно з зібраними даними, використовували сервери ESXi, орендовані у хмарних провайдерів.
На заражених серверах програма шифрує файли з розширеннями.vmxf,.vmx,.vmdk,.vmsd і.nvram і генерує файл.args з метаданими для кожного зашифрованого елемента (ймовірно, необхідними для розшифровки).
Творці шкідливого програмного забезпечення стверджують, що вони викрадають дані перед їх шифруванням, але жертви заперечують це твердження, оскільки, згідно з записами трафіку жертв, не вдалося виявити жодних доказів крадіжки даних.
Однак, згідно з дослідженням вірусу, проведеним фахівцем з ІБ Майклом Гіллеспі з ID Ransomware, у шифрувальника немає явних “слабких місць”, які дозволили б жертвам відновити свою інформацію без необхідності платити викуп. За словами Гіллеспі, шкідливе програмне забезпечення також використовує алгоритм Sosemanuk, який є надзвичайно характерним і зазвичай зустрічається лише у програм-вимагачів, побудованих з використанням вихідного коду Babuk (версія ESXi). Дослідник припускає, що хакери могли змінити код таким чином, що Babuk Curve25519 був замінений на RSA.
Техніка шифрування відрізняється, хоча вимоги про викуп, залишені ESXiArgs і вищезгаданим Cheerscrypt, досить схожі. Хоча обидві загрози побудовані на коді Babuk, дослідники не впевнені, чи є новий вірус варіацією Cheerscrypt, чи ні.
Оскільки більшість скомпрометованих серверів розміщені у Франції, першими про це повідомили французький CERT та хмарний провайдер OVH. За даними Censys (пошук файлів з вимогами викупу), на сьогоднішній день зашифровано понад 3200 серверів, майже третина з яких знаходиться у Франції.
