Overslaan en naar de inhoud gaan

Gratis hersteltool helpt bij gegijzelde VMware-servers

De Amerikaanse overheid biedt praktische hulp aan slachtoffers van de grote, wereldwijde ransomware-aanval op VMware ESXi-servers. Her en der opgedoken methodes om virtuele machines (VM's) te herstellen, zijn door cybersecurity-agentschap CISA samengevoegd in een reddingsscript. Die relatief makkelijke tool is gratis beschikbaar.
remote beheer, hulp op afstand
© Microsoft
Microsoft

De mogelijkheid om VM's te redden nadat cybercriminelen kwetsbare ESXi-servers hebben aangevallen, is niet alleen te danken aan uitgebreid securitywerk door onderzoekers. Ook de afpersers zelf hebben 'meegeholpen'. De ESXiArgs-ransomware die sinds vorige week huishoudt, blijkt z'n versleutelingswerk namelijk niet helemaal goed uit te voeren.

Twee jaar oud gat

VMware-servers die een twee jaar oude kwetsbaarheid niet hebben gedicht én toegankelijk zijn vanaf internet zijn gevallen voor een grote ransomwarecampagne. De daarbij gebruikte gijzelingssoftware ESXiArgs pakt echter niet alle bestanden die gerelateerd zijn aan VM's op VMware-hypervisor ESXi. De versleuteling van virtuele machines neemt zogeheten flat files niet mee, waarin de data is opgeslagen van virtuele schijven van VM's.

Security-onderzoekers van YoreGroup Tech Team hebben die fout weten te gebruiken om een herstelmethode te creëren, meldt BleepingComputer. Daarmee zijn VM's weer te reconstrueren, maar deze manier is relatief complex. De Amerikaanse overheidsorganisatie CISA (Cybersecurity and Infrastructure Security Agency) heeft dus een herstelscript gemaakt dat het reddingswerk wat makkelijker moet maken.

Éérst back-uppen

Beheerders en security-experts krijgen daarbij wel op het hart gedrukt dat ze het gratis beschikbare ESXiArgs-Recover-script niet zomaar blind moeten uitvoeren. De GitHub-projectpagina voor dit script geeft stapsgewijze instructies én de boodschap dat gebruikers het script goed moeten doornemen. De werking moet echt goed begrepen worden, zodat eventuele complicaties zijn te vermijden. Maar eerst moet natuurlijk een back-up van de VM-data worden gedaan.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in