Gratis hersteltool helpt bij gegijzelde VMware-servers

De mogelijkheid om VM's te redden nadat cybercriminelen kwetsbare ESXi-servers hebben aangevallen, is niet alleen te danken aan uitgebreid securitywerk door onderzoekers. Ook de afpersers zelf hebben 'meegeholpen'. De ESXiArgs-ransomware die sinds vorige week huishoudt, blijkt z'n versleutelingswerk namelijk niet helemaal goed uit te voeren.

Twee jaar oud gat

VMware-servers die een twee jaar oude kwetsbaarheid niet hebben gedicht én toegankelijk zijn vanaf internet zijn gevallen voor een grote ransomwarecampagne. De daarbij gebruikte gijzelingssoftware ESXiArgs pakt echter niet alle bestanden die gerelateerd zijn aan VM's op VMware-hypervisor ESXi. De versleuteling van virtuele machines neemt zogeheten flat files niet mee, waarin de data is opgeslagen van virtuele schijven van VM's.

Security-onderzoekers van YoreGroup Tech Team hebben die fout weten te gebruiken om een herstelmethode te creëren, meldt BleepingComputer. Daarmee zijn VM's weer te reconstrueren, maar deze manier is relatief complex. De Amerikaanse overheidsorganisatie CISA (Cybersecurity and Infrastructure Security Agency) heeft dus een herstelscript gemaakt dat het reddingswerk wat makkelijker moet maken.

Éérst back-uppen

Beheerders en security-experts krijgen daarbij wel op het hart gedrukt dat ze het gratis beschikbare ESXiArgs-Recover-script niet zomaar blind moeten uitvoeren. De GitHub-projectpagina voor dit script geeft stapsgewijze instructies én de boodschap dat gebruikers het script goed moeten doornemen. De werking moet echt goed begrepen worden, zodat eventuele complicaties zijn te vermijden. Maar eerst moet natuurlijk een back-up van de VM-data worden gedaan.