به گزارش کارگروه حملات سایبری سایبربان؛ حملات باج افزاری ESXiArgs جدیدی در جریان است که حجم وسیع تری از داده ها را رمزنگاری و کار بازیابی ماشین های مجازی وی ام ویر ESXi را سخت تر می کند.
جمعه گذشته بیش از 3 هزار سرور در معرض خطر وی ام ویر ESXi در حمله باج افزاری گسترده و بزرگ رمزنگاری شدند. (با استفاده از یک باج افزار ESXiArgs جدید)
محققین بنا بر حجم زیاد داده های رمزنگاری شده، با استفاده از فایل های مسطح رمزنگاری نشده روشی را برای بازیابی ماشین های مجازی ایجاد کردند.
آژانس امنیت سایبری و امنیت زیرساخت آمریکا با انتنشار اسکریپتی، این فرآیند بازیابی را خودکار سازی کرد. اما خبر بد برای سیسا این است که موج دوم حملات باج افزاری ESXiArgs امروز شروع شد!
این موج جدید حملات شامل روال رمزنگاری تغییر یافته ای است که داده های بیشتری را در فایل هایی با حجم بزرگ رمزنگاری می کند.
بلیپینگ اولین بار این حمله را زمانی شناسایی کرد که یک ادمین مدعی شد سرور آن رمزنگاری شده و وی نمی تواند با استفاده از روش های موجود (که تا قبل از این کارآمد بودند)، داده های خود را بازیابی کند.
با بررسی های صورت گرفته مشخص شد که رمزنگار تغییری پیدا نکرده اما اسکریپت encrypt.sh روال 'size_step' دستخوش تغییراتی شده است.
در این حملات جدید، 50 درصد داده تمامی فایل های با حجم بیش از 128 MB رمزنگاری میشود و کار بازیابی آن ها را غیر محتمل می کند.
این تغییرات همچنین باعث می شود ابزارهای پیش از این موفق بازیابی دستگاه، نا کارآمد شوند.
موج دوم حملات با تغییرات جزئی در نوت باج نیز همراه بود. در این نوت ها دیگر خبری از درج نشانی بیت کوین نیست. (چون محققین امنیتی با جمع آوری این نشانی ها می توانستند پرداخت های باج را ردیابی کنند)
در این موج جدید حملات خبری از در پشتی vmtool.py نیز نبود.
بنابراین در صورتی که شما در موج دوم حملات باج افزاری ESXiArgs مورد هدف قرار بگیرید روال های جدید رمزنگاری و اسکریپت منتشر شده توسط سیسا دردی از شما را درمان نخواهد کرد!
