技術支援
文件
登錄
聯繫我們
ESXiArgs 勒索軟體以未修補的 VMware ESXi 伺服器為目標
奧班拉·奧佩耶米
實施期間: 2023年2月13 日 - TuxCare專家團隊
管理員、託管供應商和法國計算機應急回應小組 (CERT-FR) 警告說,有一種新的勒索軟體攻擊名為 ESXiArgs,該攻擊的目標是 VMware ESXi 伺服器,這些伺服器尚未針對兩年前的遠端代碼執行漏洞進行修補。
該漏洞稱為 CVE-2021-21974,由 OpenSLP 服務中的堆溢出問題引起,未經身份驗證的攻擊者可在低複雜度攻擊中利用該問題。該缺陷會影響低於ESXi70U1c-17325551的ESXi版本7.x、低於ESXi670-202102401-SG的ESXi版本6.7.x以及低於ESXi650-202102102101-SG的ESXi版本6.5.x。
要阻止傳入攻擊,建議管理員在尚未更新的ESXi虛擬機管理程式上禁用易受攻擊的服務定位協定 (SLP) 服務,並儘快應用修補程式。此外,還應掃描尚未修補的系統以查找入侵跡象。
在勒索軟體活動中,攻擊者使用受感染的ESXi伺服器上的 .vmxf、.vmx、.vmdk、.vmsd 和 .nvram 擴展名對文件進行加密,併為每個帶有元數據的加密文檔創建一個 .args 檔,這很可能是解密所必需的。然而,贖金支付有限,據報導只有四筆贖金支付,總額為88,000美元。這可能是由於安全研究人員創建的VMware ESXi恢復指南,該指南允許管理員重建其虛擬機並免費恢復其數據。
這次攻擊最初被認為與內華達州的勒索軟體操作有關,但隨後的調查發現,這次攻擊中看到的勒索軟體筆記似乎與內華達州勒索軟體無關,似乎來自一個新的勒索軟體家族。ID Ransomware的Michael Gillespie正在跟蹤ESXiArgs勒索軟體,他說,在找到樣本之前,無法確定它在加密方面是否存在任何弱點。
總之,管理員必須更新其VMware ESXi伺服器並禁用OpenSLP服務,以防止這種勒索軟體攻擊。如果發生違規行為,建議管理員檢索ESXiArgs加密器和關聯的shell腳本的副本,以更好地瞭解攻擊並採取適當的步驟來恢復其數據。
這篇文章的來源包括 BleepingComputer上的一篇文章。
