Victime du ransomware ESXiArgs ? La CISA a mis en ligne un script de récupération !
mercredi 8 février 2023 à 15:41La CISA a mis en ligne un script permettant de récupérer les machines virtuelles des serveurs VMware ESXi chiffrés par les récentes attaques de ransomware ESXiArgs. Faisons le point.
Pour rappel, depuis la fin de semaine dernière, il y a énormément de cyberattaques à destination des serveurs VMware ESXi ! Les pirates cherchent à exploiter la vulnérabilité CVE-2021-21974 (associée au service SLP), pour laquelle il existe un patch depuis février 2021. Plusieurs versions de VMware ESXi sont affectées, dont ESXi 6.5, ESXi 6.7 et certaines versions d'ESXi 7.
Même si plusieurs milliers de serveurs ESXi ont été chiffrés, la campagne n'est pas aussi efficace qu'elle en a l'air, car le ransomware utilisé par les cybercriminels ne parvient pas à chiffrer certains fichiers. Grâce à cela, il est possible de restaurer les disques durs virtuels des machines virtuelles ! C'est d'ailleurs clairement mentionné sur le site enes.dev : merci à ses auteurs, Enes Sonmez et Ahmet Aykac.
Disponible sur GitHub, le script ESXiArgs-Recover va permettre aux entreprises affectées de restaurer leurs machines virtuelles à partir des fichiers non chiffrés ("flat"). Sur la page du script, c'est précisé : "Le CISA est conscient que certaines organisations ont réussi à récupérer des fichiers sans payer de rançon. Le CISA a compilé cet outil en se basant sur des ressources accessibles au public, notamment un tutoriel rédigé par Enes Sonmez et Ahmet Aykac. Cet outil fonctionne en reconstruisant les métadonnées des machines virtuelles à partir des disques virtuels qui n'ont pas été chiffrés par le logiciel malveillant."
Une fois le processus effectué à l'aide du script ESXiArgs-Recover, il convient de créer une nouvelle machine virtuelle et de lui attacher le disque virtuel restauré. Toutefois, ce script peut ne pas fonctionner dans certains cas et l'agence CISA le met à disposition sans aucune garantie.
N'attendez pas d'en arriver-là, mettez à jour vos serveurs VMware ESXi ! Ou, à minima désactivez le service SLP en attendant de le faire.
L'article Victime du ransomware ESXiArgs ? La CISA a mis en ligne un script de récupération ! est disponible sur IT-Connect : IT-Connect.