之后,美国联邦调查局(FBI)和网络安全基础设施安全机构(CISA)周三发布了一份恢复脚本组织影响全球大规模ransomware攻击目标VMWare ESXi服务器,有报道称恶意软件进化的方式恢复过程无效的早些时候。
袭击,旨在VMware ESXi裸露的金属虚拟机监控程序首次公开2月3日由法国计算机紧急响应小组(CERT-FR)和目标ESXi实例运行旧版本的软件,或那些没有被修补当前标准。全球约3800服务器受到影响,中国钢铁工业协会和联邦调查局说。
的ransomware脆弱的虚拟机加密配置文件,使他们有可能无法使用。赎金注意发给一个影响公司要求约23000美元的比特币。
中钢协,与美国联邦调查局(FBI),发布了一个恢复脚本。集团表示,脚本不会删除受影响的配置文件,但是尝试创建新的。它不是一个保证的方式绕过赎金要求,并且不修复根漏洞允许ESXiArgs攻击函数首先,但它可能是一个影响公司的至关重要的第一步。
中钢协指出,运行脚本后,组织应立即更新他们的服务器的最新版本,禁用的服务定位协议(SLP)服务ESXiArgs攻击者用来妥协虚拟机,削减ESXi hypervisor从公共网络之前重新初始化系统。
中钢协发布了指导后,然而,报告浮出水面,一个新版本的ransomware感染之前服务器和呈现复苏方法无效。新版本的ransomware首次报道电脑发出哔哔声。
一个主要的变化是,现在ransomware加密更大比例的配置文件,它一般目标,使其困难,如果不是不可能,中钢协脚本创建一个干净的选择。
此外,ESXiArgs攻击的新浪潮甚至可能工作在系统没有启用SLP,根据系统管理员的哔哔声电脑上,尽管没有立即证实了网络安全专家。
“(我)没能亲自确认是这样的话,也没有任何其他知名安全研究组织,我会想象正在调查这个问题,”Gartner分析师乔恩·阿马托高级主管说。“这当然是合理的,但有很多的日光之间似是而非的证实。”
试图恢复脚本为影响组织仍然是一个好主意,他补充说。
“值得一试——成本管理只有几分钟的时间,”阿玛托说。
中钢协:把这些服务器安全程序
中钢协脚本是否可用在一个特定组织的情况下,联邦调查局和中钢协建议无论如何影响组织遵循最后三个步骤——如果可能的话,修补机的最新标准(这是不容易ESXiArgs攻击),关闭了SLP从公共网络服务和削减他们都是减灾的重要步骤。根脆弱率先报道了cve - 2021 - 21974,和一个补丁已近一年。
主要的攻击目标是服务器在法国,美国,德国,和大量的受害者在加拿大和英国,根据网络安全公司Censys。以阻止进一步的攻击,中国钢铁工业协会和联邦调查局发布了一系列额外的步骤,包括维护定期和健壮的离线备份,限制向量已知恶意软件的早期版本SMB网络协议,并通常需要一个高水平的内部安全- phishing-resistant 2 fa,用户帐户审计和其他几个技术特别推荐。
(这个故事已经更新,包括方案得到的信息,和分析师发表评论。)