Quelle: cve.mitre.org) (Englisch)
Neue ESXiArgs-Ransomware-Angriffe verschlüsseln jetzt umfangreichere Datenmengen, was die Wiederherstellung verschlüsselter virtueller VMware ESXi-Maschinen erheblich erschwert, wenn nicht gar unmöglich macht.
Verschlüsselungsprozess geändert Leider wurde heute eine zweite ESXiArgs-Ransomware-Welle gestartet, die eine veränderte Verschlüsselungsroutine enthält, die weitaus mehr Daten in großen Dateien verschlüsselt.
Der Verschlüsseler hat sich nicht geändert, aber die "size_step"-Routine des encrypt.sh-Skripts in der neuen Version herausgenommen und einfach auf 1 gesetzt worden war.
Der Ransomware-Experte Michael Gillespie sag, dass diese Änderung dazu führt, dass der Verschlüsseler abwechselnd 1 MB an Daten verschlüsselt und 1 MB an Daten überspringt.
Bei allen Dateien über 128 MB werden nun 50 % der Daten verschlüsselt, so dass sie wahrscheinlich nicht wiederhergestellt werden können.
Diese Änderung verhindert auch, dass die bisherigen Wiederherstellungstools Maschinen erfolgreich wiederherstellen können, da die flachen Dateien zu viele Daten verschlüsselt haben, um verwendbar zu sein.
Bei dieser zweiten Angriffswelle wurde auch eine geringfügige Änderung an der Lösegeldforderung vorgenommen, indem keine Bitcoin-Adressen mehr in der Lösegeldforderung angegeben wurden.
Die Entfernung der Bitcoin-Adressen war wahrscheinlich darauf zurückzuführen, dass sie von Sicherheitsforschern gesammelt wurden, um Lösegeldzahlungen zu verfolgen.
Noch besorgniserregender ist jedoch, dass der Administrator, der die neuen Beispiele weitergegeben hat, angab, SLP auf seinem Server deaktiviert zu haben, aber dennoch erneut angegriffen worden zu sein. Es wurde auch nach der Hintertür vmtool.py gesucht, die bei früheren Angriffen verwendet wurde, und sie wurde nicht gefunden.
Da SLP deaktiviert ist, wird es noch verwirrender, wie dieser Server angegriffen wurde.
Es wird weiterhin empfohlen, verschlüsselte ESXi-Server mit dem Wiederherstellungsskript von CISA wiederherzustellen.
Allerdings wird es wahrscheinlich nicht mehr funktionieren, wenn Sie in der zweiten Angriffswelle mit der neuen Verschlüsselungsroutine infiziert wurden.