La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha publicado un script en GitHub destinado a ayudar al ransomware VMware ESXi (se abre en una pestaña nueva) las víctimas del ataque reconstruyen sus endpoints.
Miles de servidores VMware ESXi han sido atacados recientemente en Europa y América del Norte, con informes iniciales que mencionan unas 500 víctimas y evaluaciones más recientes que sitúan el número en 2.800.
Los atacantes anónimos escanearon los servidores VMware ESXi en busca de CVE-2021-21974, una vulnerabilidad conocida que la empresa parchó hace dos años. Aquellos que eran vulnerables terminaron infectados con ransomware.
Campaña de encriptación fallida
Sin embargo, la campaña de ciberdelincuencia parece haber fracasado en su mayoría, ya que el ransomware no cifró los archivos planos que contienen datos para los discos virtuales.
Dos investigadores del equipo técnico de YoreGroup encontraron una manera de usar esos archivos para reconstruir máquinas virtuales. Si bien muchos tuvieron éxito al usar su método para recuperar sus servidores, el proceso supuestamente es relativamente complejo, lo que llevó a CISA a intervenir y ayudar a automatizar el proceso con un script.
«CISA es consciente de que algunas organizaciones han informado sobre el éxito en la recuperación de archivos sin pagar rescates. CISA compiló esta herramienta basándose en recursos disponibles públicamente, incluido un tutorial de Enes Sonmez y Ahmet Aykac», dijo la agencia. «Esta herramienta funciona mediante la reconstrucción de metadatos de máquinas virtuales a partir de discos virtuales que no fueron encriptados por el malware».
Si bien es inmensamente útil, el guión aún debe ser considerado cuidadosamente, dice CISA. Los administradores deben revisarlo primero para eliminar cualquier posible complicación. También es muy bienvenido hacer una copia de seguridad de los archivos antes de iniciar cualquier proceso de recuperación.
«Si bien CISA trabaja para garantizar que los scripts como este sean seguros y efectivos, este script se entrega sin garantía, ya sea implícita o explícita». concluyó la agencia. «No use este script sin entender cómo puede afectar su sistema. CISA no asume ninguna responsabilidad por los daños causados por este script».
Vía: BleepingComputer (se abre en una pestaña nueva)