La adaptación y la agilidad son características de los cibercriminales. Al final de la semana pasadaUna primera ofensiva dirigida a los servidores con ESXi vulnerable a una falla que data de 2021 e implementó ransomware llamado ESXIARGS para cifrar los datos. Según los especialistas, no menos de 3.000 servidores se vieron afectados en particular en Francia, pero también en Italia y otros países. Al comienzo de la semana, Hope nació para las víctimas con la publicación de un guión de recuperación Especialmente por el CISA y el FBI.

Alegría a corto plazo como se indica Nuestros colegas de Bleeping Compompted Quien observó una segunda ola de ataque con una versión reforzada del ransomware para bloquear esta recuperación. De hecho, ha cambiado el método de cifrado al encriptar mayores cantidades de datos.

Más cifrado de datos

Cuando esxiargs infecta una máquina virtual, lanza un script "CiCrypt.Sh" para buscar archivos con ciertas extensiones (.vmdk, .vmx, .vmsd, .vmxf, .vmsn, .vswp, .vmss, .nvram, .vmem ). Para cada archivo, el script verifica su tamaño. Si es inferior a 128 MB, cuesta todo el archivo por incremento de 1 MB. Para archivos de más de 128 MB, calcula un "paso de tamaño" (cuya fórmula es size_step = (($ size_in_kb/ 1024/100) -1)), un salto de acuerdo con el tamaño donde el ransomware alterna el cifrado de 1 MB de 1 MB de Datos y la falta de scholars de otras piezas. Recuperación de VM.

El análisis de las muestras de la segunda ola de ataques muestra que el modo de cálculo del "paso de tamaño" se ha eliminado del script de cifrado colocándolo en 1. Esto significa que se cifran muchos más datos, lo que hace que la herramienta descargue la recuperación. BleepingCompute subraya otro detalle preocupante, el administrador que presentó la muestra había deshabilitado SLP en su servidor. Por lo tanto, parece que los piratas han pasado por otra violación, no determinado por el momento.