Cybercriminelen hebben onlangs de ESXi-ransomware aangepast tegen scripts die getroffen servers wisten te herstellen. Met de nieuwe versie worden alle bestanden vanaf 128 MB voor 50 procent versleuteld, wat hersteloperaties vrijwel onmogelijk maakt. Dit schrijft Bleeping Computer.
De recente ransomware-aanval op VMware ESXi-servers gaat een nieuwe fase in nu cybercriminelen zijn gestart met een tweede golf aanvallen met een recent aangepaste versie. Hiermee reageren de cybercriminelen op de recente scripts waarmee toch hersteloperaties konden worden uitgevoerd.
De hersteloperaties waren mogelijk doordat de eerste versie van de ransomware niet alle data in een vm versleutelde. Het ging hier dan met name om grotere bestanden. Het was mogelijk om scripts te ontwikkelen die deze grotere voornamelijk niet-versleutelde ‘flat files’ gebruiken voor herstel. In deze flat files is namelijk de disk data van een vm opgeslagen.
Nieuwe fase
De nu ontdekte tweede golf en de nieuwste versie van de ESXi-ransomware lijken korte metten te maken met deze herstelmethode. Uit nader onderzoek blijkt dat de code van de ransomware nu is aangepast en dat de malware meer data versleutelt dan de eerste versie.
Meer concreet werd in de tweede versie de encryptor niet veranderd, maar werd wel de encrypt.sh size_step routine aangepast. Deze ging van 0 naar 1. Dit heeft tot gevolg dat de encryptor wisselt tussen het versleutelen van 1 MB aan data en het daarna overslaan van 1 MB aan data.
Hierdoor worden alle grotere bestanden van 128 Mb en meer ook voor 50 procent versleuteld. De overgebleven niet-versleutelde data zijn voor de bekende herstelscripts te weinig om het herstelproces uit te voeren, aldus experts.
Verder constateerde Bleeping Computer dat de cybercrimninelen de ransomware-notice hebben aangepast. Hierin vragen zij niet langer om betaling in bitcoins. Dit om mogelijk tracering via bitcoin-adressen te voorkomen.
Toch scripts blijven gebruiken en upgraden
Bleeping Computer blijft gebruikers van VMware ESXi-servers adviseren de herstelscripts, zoals die van de Amerikaanse CISA, te blijven gebruiken. Of deze daadwerkelijk ook werken, kan de site niet meer garanderen nu de tweede versie rouleert. Eerder gaf VMware al aan zoveel mogelijk te upgraden naar nieuwere versies.
Tip: Amerikaanse CISA publiceert hersteloptie voor ESXiArgs-aanval
1 uur geleden
