Υπήρξαν ορισμένες νέες εξελίξεις στην περίπτωση των επιθέσεων ransomware ESXiArgs, μεταξύ άλλων που σχετίζονται με τη μέθοδο κρυπτογράφησης που χρησιμοποιείται από το κακόβουλο λογισμικό, τα θύματα και την ευπάθεια που εκμεταλλεύονται οι χάκερ.
Αφού η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) ανακοίνωσε τη διαθεσιμότητα ενός εργαλείου ανοιχτού κώδικα που έχει σχεδιαστεί για να βοηθήσει ορισμένα θύματα του ransomware ESXiArgs ανακτήσουν τα αρχεία τους χωρίς να πληρώσουν λύτρα, το FBI και η CISA δημοσίευσαν ένα έγγραφο που παρέχει καθοδήγηση ανάκτησης.
Το FBI και η CISA γνωρίζουν περισσότερους από 3.800 διακομιστές που παραβιάστηκαν σε όλο τον κόσμο από επιθέσεις ransomware ESXiArgs.
Επί του παρόντος, οι μηχανές αναζήτησης του Shodan και του Censys δείχνουν 1.600-1.800 χακαρισμένους διακομιστές, αλλά υπάρχουν ενδείξεις ότι πολλοί επηρεασμένοι οργανισμοί έχουν αρχίσει να ανταποκρίνονται στην επίθεση και να καθαρίζουν τα συστήματά τους.
Το Reuters διεξήγαγε ανάλυση και διαπίστωσε ότι μεταξύ των θυμάτων είναι και το Ανώτατο Δικαστήριο της Φλόριντα και πανεπιστήμια στις Ηνωμένες Πολιτείες και την Ευρώπη.
Μια ανάλυση του κακόβουλου λογισμικού κρυπτογράφησης αρχείων που αναπτύχθηκε στις επιθέσεις ESXiArgs έδειξε ότι έχει στοχεύσει αρχεία που σχετίζονται με εικονικές μηχανές (VM). Ωστόσο, οι ειδικοί παρατήρησαν ότι το ransomware στόχευε κυρίως αρχεία διαμόρφωσης VM, αλλά δεν κρυπτογραφούσε τα επίπεδα αρχεία που αποθηκεύουν δεδομένα, επιτρέποντας σε ορισμένους χρήστες να ανακτήσουν τα δεδομένα τους.
Το εργαλείο που κυκλοφόρησε από την κυβέρνηση των ΗΠΑ αναδομεί τα κρυπτογραφημένα αρχεία διαμόρφωσης με βάση τα μη κρυπτογραφημένα επίπεδα αρχεία.
Ωστόσο, η Bleeping Computer ανέφερε την Τετάρτη ότι ορισμένα θύματα έχουν στοχοποιηθεί με ανέα έκδοση του κακόβουλου λογισμικού ESXiArgs, ένα με διαφορετική διαδικασία κρυπτογράφησης που περιλαμβάνει την κρυπτογράφηση περισσότερων δεδομένων, η οποία εμποδίζει την ανάκτηση αρχείων.
Μέχρι τώρα, το ransomware δεν κρυπτογραφούσε την πλειονότητα των δεδομένων σε μεγάλα αρχεία, αλλά η νέα έκδοση του κακόβουλου λογισμικού κρυπτογραφεί πολύ πιο σημαντικό όγκο δεδομένων σε μεγάλα αρχεία. Μέχρι τώρα, οι ερευνητές δεν έχουν βρει ελαττώματα στην πραγματική κρυπτογράφηση, καθιστώντας αδύνατη την επαναφορά κρυπτογραφημένων αρχείων.
Έχει υποτεθεί ότι το ESXiArgs επιτίθεται μόχλευσης CVE-2021-21974 για αρχική πρόσβαση. Αυτή είναι μια ευπάθεια υψηλής σοβαρότητας απομακρυσμένης εκτέλεσης κώδικα στο VMware ESXi που η VMware επιδιορθώθηκε τον Φεβρουάριο του 2021. Το ζήτημα σχετίζεται με το OpenSLP.