La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié un script sur GitHub visant à aider le rançongiciel VMware ESXi (s’ouvre dans un nouvel onglet) les victimes d’attaques reconstruisent leurs terminaux.
Des milliers de serveurs VMware ESXi ont récemment été ciblés à travers l’Europe et l’Amérique du Nord, avec des rapports initiaux mentionnant quelque 500 victimes, et des évaluations plus récentes portant le nombre à 2 800.
Les attaquants anonymes ont scanné les serveurs VMware ESXi à la recherche de CVE-2021-21974, une vulnérabilité connue qui a été corrigée par la société il y a deux ans. Ceux qui étaient vulnérables ont fini par être infectés par des ransomwares.
Échec de la campagne de chiffrement
Cependant, la campagne de cybercriminalité semble avoir été pour la plupart infructueuse, car le rançongiciel n’a pas chiffré les fichiers plats contenant des données pour les disques virtuels.
Deux chercheurs de l’équipe technique de YoreGroup ont trouvé un moyen d’utiliser ces fichiers pour reconstruire des machines virtuelles. Alors que beaucoup ont réussi à utiliser leur méthode pour récupérer leurs serveurs, le processus serait relativement complexe, incitant CISA à intervenir et à automatiser le processus avec un script.
« La CISA est consciente que certaines organisations ont signalé avoir réussi à récupérer des fichiers sans payer de rançon. La CISA a compilé cet outil sur la base de ressources accessibles au public, y compris un didacticiel d’Enes Sonmez et Ahmet Aykac », a déclaré l’agence. « Cet outil fonctionne en reconstruisant les métadonnées de la machine virtuelle à partir de disques virtuels qui n’ont pas été chiffrés par le logiciel malveillant. »
Bien qu’immensément utile, le script doit encore être soigneusement examiné, déclare CISA. Les administrateurs doivent d’abord l’examiner afin d’éliminer toute complication possible. La sauvegarde des fichiers avant de s’engager dans un processus de récupération est également la bienvenue.
« Alors que CISA s’efforce de garantir que des scripts comme celui-ci sont sûrs et efficaces, ce script est livré sans garantie, implicite ou explicite. » conclut l’agence. « N’utilisez pas ce script sans comprendre comment il peut affecter votre système. CISA n’assume aucune responsabilité pour les dommages causés par ce script. »
Via : BleepingComputer (s’ouvre dans un nouvel onglet)