Вымогательское ПО ESXiArgs и способы борьбы с ним от HostZealot
15:04, 07.04.2023
Хотя за последние годы количество кибератак уменьшилось, они также стали более изощренными. Более того, киберпреступники уделяют внимание использованию старых уязвимостей, рассчитывая на то, что многие пользователи небрежно относятся к безопасности и важности обновления программного обеспечения. В этой статье мы поговорим о ESXiArgs Ransomware – вредоносном программном обеспечении, которое использует уязвимость 2019 года.
Это не означает, что вы в безопасности, если вы еще не пострадали от этой уязвимости. Защитить свои виртуальные машины заранее лучше всего с помощью патчей, размещенных HostZealot в их базе знаний. На этой странице вы найдете подробные инструкции по установке патчей для различных версий VMware ESXi. Вся информация доступна по адресу:
Техническая информация о ESXiArgs
ESXiArgs – это вредоносное программное обеспечение, которое поражает гипервизор VMware ESXi – одну из самых популярных платформ виртуализации. Его цель – повредить систему и потребовать выкуп за восстановление. ESXiArgs шифрует файлы (преимущественно типы файлов VMware VM) и подменяет файлы "motd" (используется для отображения при входе в систему) и "index.html" (домашняя страница VMware ESXi), чтобы разместить в них требование о выкупе.
На странице с требованием выкупа жертва должна оплатить от 2 биткоинов (сумма зависит от организации), после чего она получит ключ для расшифровки файлов. Ранняя версия ESXiArgs, которую злоумышленники использовали в первой волне атаки, имела уязвимость. Вредоносное программное обеспечение шифровало файлы выборочно – все, что не превышало 128 МБ, шифровалось автоматически, но более крупные файлы либо пропускались, либо шифровались частично. Это позволило разработчикам создать скрипт ESXiArgs-Recovery. Он позволит вам расшифровать данные, зашифрованные предыдущей версией ESXiArgs.
Во второй волне атаки киберпреступники изменили принцип работы программы-вымогателя, используя надежные алгоритмы шифрования, в частности AES-256 и RSA-2048. Это делает практически невозможным восстановление данных без приватного ключа, которым владеют злоумышленники.
Определить, какая версия вредоносного программного обеспечения заразила ваш сервер, очень просто. Достаточно лишь взглянуть на сообщение с требованием выкупа. Если в нем указан BTC-кошелек, скорее всего, это ранняя версия ESXiArgs, и вы сможете восстановить свои данные. В более поздней версии программы киберпреступники спрятали кошелек и предлагают жертве связаться с ними, чтобы получить его.
На кого это влияет
Самое интересное в этой истории то, что взлом сервера использует старые уязвимости, в частности CVE-2019-55441, а это значит, что специалисты по кибербезопасности обнаружили ее еще в 2019 году. В первые дни атаки на сервер разработчики VMware сообщили, что OpenSLP (который позволяет компьютерам и другим устройствам находить сервисы в локальной сети без предварительной конфигурации) был отключен по умолчанию еще в 2021 году. Именно так злоумышленники атакуют серверы, на которых работает старое программное обеспечение.
Хакеры преимущественно атакуют серверы под управлением гипервизора ESXi 6.0-6.7. Атака может повлиять на некоторые версии vSphere 7.0, которые владельцы серверов все еще должны обновить до последнего патча. Как оказалось, многие организации, включая больницы, школы, университеты и крупные предприятия, пренебрегают обновлением программного обеспечения и дополнительной защитой от кибератак.
Самая масштабная из когда-либо зафиксированных атак с использованием программ-вымогателей не для Windows
Обычно от программ-вымогателей страдают обычные пользователи компьютеров с Windows, которые перешли по подозрительной ссылке или установили скомпрометированное программное обеспечение. С ESXiArgs мы имеем дело со значительными атаками программ-вымогателей на платформе VMware ESXi.
Он может шифровать не только файлы и данные на отдельных компьютерах, но и всю сеть организации. От ESXiArgs пострадали почти 4 000 организаций по всему миру, а по общим оценкам, злоумышленники могут зашифровать файлы на 18 500 серверах, используя уязвимость CVE-2021-21974.
Самым болезненным для организаций будет поражение инфраструктуры виртуализации вредоносным программным обеспечением, что означает, что владельцы серверов не смогут просто восстановить файлы из резервной копии или заменить оборудование. Чтобы вернуть все к нормальной работе, специалисты должны восстановить серверы ESXi и виртуальные машины. Это потребует гораздо больше времени и ресурсов и будет стоить компании гораздо дороже.
Но вы ошибаетесь, если думаете, что заплатить хакерам за восстановление доступа к файлам – это выход. Полученный ключ может быть очень медленным. Поэтому если вы развернули сеть с большим количеством виртуальных машин, на восстановление вашего сервера уйдут недели. Кроме того, известно много случаев, когда преступники получали выкуп и не предоставляли жертвам ключи расшифровки. Организации теряли время и деньги, не получая ожидаемых результатов.
Угроза разглашения конфиденциальных данных
Одной из самых серьезных угроз, связанных с атаками программ-вымогателей, таких как ESXiArgs, является риск раскрытия или утечки конфиденциальных данных. ESXiArgs может заблокировать доступ к ценным данным, таким как финансовая отчетность и контракты. Однако, что более важно, злоумышленники могут разместить эти данные в открытом доступе или продать их в даркнете. Многие организации полагаются на конфиденциальность своих данных для сохранения конкурентного преимущества, а разглашение этой информации может иметь серьезные финансовые и репутационные последствия.
В последние годы мы наблюдаем резкое увеличение количества атак злоумышленников, направленных на похищение ценных данных. Это связано с тем, что злоумышленники знают о ценности конфиденциальной информации и о том, что организации будут пытаться предотвратить ее разглашение. Злоумышленники часто угрожают обнародовать данные, если не будет публично уплачен выкуп, усиливая давление на пострадавшую организацию, чтобы она удовлетворила их требования.
Угроза разглашения данных является особенно острой в таких отраслях, как здравоохранение и финансы, где конфиденциальность пациентов и клиентов имеет первостепенное значение. В этих отраслях утечка данных может привести к регуляторным штрафам, потере клиентов и непоправимому ущербу репутации. Даже в других отраслях разглашение конфиденциальных данных может привести к потере доверия среди клиентов и партнеров, что повлечет значительные финансовые потери.
Кроме того, последствия утечки данных могут быть долговременными: пострадавшие организации часто сталкиваются с судебными исками, регуляторными расследованиями и репутационными потерями, на исправление которых могут уйти годы.
Как программы-вымогатели влияют на крупные компании
Крупные компании особенно уязвимы к атакам вирусов-вымогателей из-за их размера и сложности. Такие организации часто имеют разветвленную ИТ-инфраструктуру, которую трудно защитить и контролировать. Такая сложность облегчает злоумышленникам поиск уязвимостей в сети и использование их для получения доступа к конфиденциальным данным.
Атаки могут иметь серьезные последствия для крупных компаний, таких как:
- Потеря дохода и репутации из-за простоя бизнес-процессов, недоступности услуг или продуктов для клиентов и партнеров;
- Потеря или утечка конфиденциальных данных, таких как персональные данные клиентов, финансовая информация, интеллектуальная собственность или конфиденциальные данные. Это может привести к штрафам, судебным искам или регуляторным санкциям;
- Потеря доверия и лояльности клиентов, партнеров и сотрудников из-за нарушения безопасности и недостаточной защиты их данных;
- Потеря конкурентоспособности и способности к инновациям из-за повреждения или потери ценных данных или ресурсов;
- Потеря контроля над инфраструктурой и данными из-за шифрования или удаления файлов злоумышленниками.
Финансовые последствия атак программ-вымогателей для крупных компаний могут быть значительными. Помимо расходов на программы-вымогатели, эти организации могут столкнуться со снижением производительности и затратами на устранение последствий.
Учитывая серьезность угрозы, крупные компании должны применять проактивный подход к предотвращению атак с требованиями. Он включает регулярную оценку уязвимостей, мониторинг сети и обучение сотрудников, чтобы убедиться, что они осознают риски и знают, как не стать жертвой атаки.
Как защитить свой сервер от следующей атаки Ransomware
После атаки ESXiArgs и других подобных инцидентов как никогда важно защитить серверы и другую критически важную инфраструктуру от подобных инцидентов. Вот несколько советов, которые помогут вам минимизировать риск атаки вируса-вымогателя и уменьшить убытки, если такая атака все же произойдет.
Обновляйте свое программное обеспечение
Обновите все программное обеспечение – это самый эффективный способ защитить ваш сервер и предотвратить любые атаки. Это касается операционных систем, серверных приложений и другого программного обеспечения, работающего на серверах. Поставщики программного обеспечения часто выпускают патчи и обновления, которые исправляют уязвимости безопасности и другие проблемы, поэтому отслеживать эти обновления очень важно.
Внедряйте политику надежных паролей
Слабые пароли – одна из самых распространенных уязвимостей, которую злоумышленники используют для доступа к серверам и другим системам. Чтобы защититься от атак вирусов-вымогателей, организация должна внедрить надежную политику использования паролей. Она должна включать требования по сложным паролям, регулярной смене паролей и двухфакторной аутентификации, где это возможно.
Научите своих сотрудников
Расскажите пользователям о рисках и лучших практиках интернет-безопасности. Это включает обучение распознаванию фишинговых афер, избежанию загрузки вредоносного программного обеспечения и сообщению о подозрительной активности в ваш ИТ-отдел или отдел безопасности. Большинство взломов происходит из-за того, что работники переходят по подозрительным ссылкам, открывают вложения из электронных писем от различных организаций или устанавливают нелицензионное программное обеспечение на свои компьютеры. Важно объяснить риски, связанные с этими действиями.
Используйте ограниченный доступ к различным типам данных
Если в вашей организации работает много сотрудников с разным уровнем ответственности, найдите время, чтобы ограничить доступ к конфиденциальным данным только тем пользователям, которым они не нужны. Чем меньше сотрудников имеют доступ к определенным файлам, тем меньше вероятность того, что киберпреступник взломает систему. Сложная структура делает почти невозможным удаленный доступ к вашему серверу.
Не забывайте о резервных копиях
Регулярное резервное копирование имеет решающее значение для защиты вашей организации от последствий атаки вирусов-вымогателей. Конечно, это не поможет в случае вирусов вроде ESXiArgs, но никто не знает, какими будут следующие атаки. Если ваши серверы скомпрометированы, наличие актуальных резервных копий может сделать разницу между незначительными неудобствами и катастрофической потерей данных. Обязательно храните резервные копии за пределами сайта в безопасном месте, чтобы предотвратить их повреждение во время атаки.
Разработать комплексный план реагирования на инциденты
Несмотря на все ваши усилия, существует вероятность того, что ваша организация может стать жертвой атаки злоумышленников. Очень важно иметь комплексный план реагирования на инциденты. В нем должны быть описаны шаги для минимизации ущерба и быстрого восстановления работы. Этот план должен включать процедуры изоляции зараженных систем, восстановления данных из резервных копий, а также коммуникации с заинтересованными сторонами и клиентами.
ESXiArgs – это опасное вредоносное программное обеспечение, которое может нанести значительный ущерб любой организации, ставшей его жертвой. Важно принимать проактивные меры для защиты своих систем, а также обучать себя и своих сотрудников распознавать и избегать этих угроз. Также важно регулярно создавать резервные копии данных, чтобы иметь возможность быстро восстановить их в случае атаки.