Lebih dari 3.800 server di seluruh dunia telah disusupi dalam serangan ransomware ESXiArgs baru-baru ini, mencakup proses yang ditingkatkan.
Beberapa perkembangan baru dalam kasus serangan tersebut termasuk terkait dengan metode enkripsi yang digunakan oleh malware, korban, dan kerentanan yang dieksploitasi oleh para hacker.
Setelah CISA mengumumkan ketersediaan alat open source tersebut, FBI dan CISA merilis dokumen yang memberikan panduan pemulihan.
Saat ini, mesin pencari Shodan dan Censys menunjukkan 1.600-1.800 server yang diretas dan terdapat indikasi bahwa banyak organisasi yang terkena dampak telah mulai menanggapi serangan tersebut dan membersihkan sistem mereka.
Analisis Reuters menetapkan bahwa para korban termasuk Mahkamah Agung Florida dan universitas di Amerika Serikat dan Eropa.
Analisis malware enkripsi file yang digunakan dalam serangan itu menunjukkan bahwa malware tersebut menargetkan file yang terkait dengan mesin virtual (VM). Para ahli memperhatikan bahwa ransomware lebih menargetkan file konfigurasi VM, tetapi tidak mengenkripsi file datar yang menyimpan data, memungkinkan beberapa pengguna memulihkan data mereka.
Hingga saat ini, ransomware tidak mengenkripsi sebagian besar data dalam file besar, tetapi versi baru malware mengenkripsi data dalam jumlah yang jauh lebih signifikan dalam file besar. Para peneliti juga belum menemukan kekurangan dalam enkripsi yang sebenarnya.
Diasumsikan bahwa serangan ESXiArgs memanfaatkan CVE-2021-21974 untuk akses awal, sebuah kerentanan eksekusi koderemote dengan tingkat keparahan tinggi di VMware ESXi yang ditambal oleh VMware pada Februari 2021.
VMware belum mengonfirmasi eksploitasi itu, tetapi dikatakan bahwa tidak ada bukti kerentanan zero-day yang dimanfaatkan dalam serangan tersebut.
Namun, GreyNoise menunjukkan bahwa beberapa kerentanan terkait OpenSLP telah ditemukan di ESXi dalam beberapa tahun terakhir, dan salah satunya dapat dieksploitasi dalam serangan ESXiArgs, termasuk CVE-2020-3992 dan CVE-2019-5544.
Selengkapnya: Security Week