Виявлено новий вірус ESXiArgs, який робить активні атаки. Очевидно, його створили спеціально для нападу на сервери VMware ESXi. Важливо, що атака є масовою, оскільки постраждали вже кілька тисяч серверів. Аналітики, що пройшли повний курс з кібербезпеки Узбекистан, активно розслідують хвилю злочинів
Як відбувається атака, повний курс з кібербезпеки Узбекистан
Сервери VMware ESXi мають велику популярність серед європейців. Хмарний провайдер OVH із Франції надає послуги хмарних серверів. Вони відрізняються гарною продуктивністю та лояльною ціновою політикою. Тому компанії в Європі часто віддають перевагу саме серверам VMware ESXi. У 2021 році в коді серверів було виявлено критичну вразливість. Вона дозволяла виконувати на серверах віддалені команди. Патч для вразливості випустили того ж року, проте не всі компанії поспішили оновити програму. Внаслідок цього зловмисники створили новий вірус, який експлуатує цю вразливість. Ті, хто закінчив дистанційні курси з інформаційної безпеки Узбекистанзнають, як важливо вчасно встановлювати патчі.
У результаті хакери змогли обчислити величезну кількість вразливих серверів і впровадили новий шифрувальник. Вірус ESXiArgs робить таке:
- сканує сервер;
- шифрує файли з певним розширенням;
- створює файл з метаданими для подальшого розшифрування.
До фахівців надійшло понад три тисячі звернень жертв шифрувальника. Хакери залишали на сервері записку з вимогою оплати викупу у розмірі 50 тисяч доларів. При цьому зловмисники загрожували опублікувати вкрадені дані у разі невиконання їхніх вимог. Кіберполіція Франції розпочала активне розслідування, проте з'ясувати вдалося досить мало. На сьогоднішній день важко сказати, чи зможуть фахівці розшифрувати дані. Або ж орендарям серверів доведеться платити хакерам викуп.
Що відомо про вірус ESXiArgs
Новий шифрувальник дуже зацікавив експертів з усього світу. Справа в тому, що вони змогли виявити відразу кілька версій вірусу. Вони були засновані на двох абсолютно різних шифрувальників. При цьому шкідливі програми були створені спеціально для злому саме французьких хмарних серверів VMware ESXi. Нетипово й те, що хакери використовували в основі стару вразливість. Зазвичай вони створюють експлойт для нових багів, яких ще не випустили патчі. Тоді кількість жертв може виявитися досить великою. Тим не менш, експерти, які проводять курс основи інформаційної безпеки Узбекистан, Поняття не мають, як розшифрувати дані користувачів.
Безумовно, зараз усім власникам серверів рекомендують встановити патч для усунення вразливості. В іншому випадку хакери можуть продовжити атаки і тоді жертв ESXiArgs стане набагато більше. Також рекомендується перевірити системи на наявність компонентів вірусу. Є ймовірність, що хакери залишили в частині ОС бекдори, щоб зламати сервер пізніше. Аналітики впевнені, що насправді за атаками стоїть як мінімум два злочинні угруповання. Однак поки що жодна не взяла на себе відповідальність за злом 3200 серверів. До того ж, не вдалося виявити жодного слабкого місця у структурі самого шифрувальника. Отже, немає шансу допомогти вже постраждалим користувачам. Експерти, які проводять курс основи кібербезпеки Узбекистанактивно продовжують розслідування.
Команда SEDICOMM University: Академія Cisco, Професійний інститут Linux, Інститут Python.