Bueno, eso no tomó mucho tiempo.
El script que permitió a los propietarios de servidores VMware ESXi infectarse con ransomware (se abre en una pestaña nueva) para restaurar los archivos ya no funciona, porque los atacantes actualizaron el cifrador y parchearon la falla que tenía. Ahora, aquellos sin protección de punto final probablemente no podrán restaurar los archivos sin obtener la clave de descifrado de los actores de amenazas.
La noticia fue confirmada por BleepingEquipo (se abre en una pestaña nueva)cuyos investigadores analizaron muestras recién obtenidas del encriptador.
Abusando de un viejo defecto
A fines de la semana pasada, las agencias nacionales de seguridad cibernética de algunos países europeos, así como las de EE. UU. y Canadá, advirtieron sobre un ataque generalizado y semiautomático contra los servidores ESXi de VMware. Los atacantes encontraron más de 3000 puntos finales (en el momento de la publicación) que eran vulnerables a una falla que VMware parchó hace dos años y usaron esa falla para implementar el ransomware ESXiArgs.
Los servidores atacados estaban ubicados principalmente en Europa (Italia, Francia, Finlandia), pero también en EE. UU. y Canadá. Las empresas en Francia supuestamente fueron las más afectadas.
El equipo de respuesta a incidentes de seguridad informática del gobierno nacional del país, CERT-FR, dijo que el ataque fue semiautomático y se dirigió a servidores vulnerables a CVE-2021-21974. La falla se describe como una vulnerabilidad OpenSLP HeapOverflow, que permite a los actores de amenazas ejecutar código de forma remota.
Pero poco después, los investigadores descubrieron que el cifrador tenía fallas y, mientras se encontraba en el proceso de cifrado de archivos grandes, omitió gran parte de ellos. Eso le dio a dos investigadores del equipo técnico de YoreGroup muchos archivos sin cifrar con los que trabajar, lo que les ayudó a idear una forma de descifrar los archivos y restaurar el acceso a los dispositivos comprometidos.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) intervino más tarde, creó un script para automatizar el trabajo y lo compartió en GitHub.
Pero las buenas noticias no duraron mucho, ya que los actores de amenazas ahora comenzaron a implementar una versión actualizada del cifrador, con la falla eliminada. Aún así, todos recomiendan que las víctimas prueben y usen el script de CISA, por si acaso.