Após a Agência de Segurança Cibernética e Infra-estrutura dos EUA (CISA) ter lançado um descodificador para as vítimas afectadas recuperarem dos ataques de resgate do ESXiArgs, os actores da ameaça recuperaram com uma versão actualizada que codifica mais dados.
A emergência da nova variante foi reportado por um administrador de sistema num fórum online, onde outro participante declarou que ficheiros maiores que 128MB terão 50% dos seus dados encriptados, tornando o processo de recuperação mais desafiante.
Outra alteração notável é a remoção do endereço Bitcoin da nota de resgate, com os atacantes a instarem agora as vítimas a contactá-los na Toxicologia para obterem informações sobre a carteira.
Os actores da ameaça “perceberam que os investigadores estavam a seguir os seus pagamentos, e podem até ter sabido antes de libertarem o resgate que o processo de encriptação na variante original era relativamente fácil de contornar”, Censys disse num relatório escrito.
“Por outras palavras: eles estão a observar”.
Estatísticas partilhadas pela plataforma de crowdsourced Ransomwhere revelar que até 1.252 servidores foram infectados pela nova versão do ESXiArgs a partir de 9 de Fevereiro de 2023, dos quais 1.168 são reinfecções.
Desde o início do surto de resgate no início de Fevereiro, mais de 3.800 hospedeiros únicos foram comprometidos. A maioria das infecções estão localizadas em França, EUA, Alemanha, Canadá, Reino Unido, Holanda, Finlândia, Turquia, Polónia, e Taiwan.
ESXiArgs, como Cheerscrypt e PrideLockerbaseia-se no cacifo de Babuk, que tinha o seu código fonte vazado em Setembro 2021. Mas um aspecto crucial que o diferencia de outras famílias de resgate é a ausência de um local de fuga de dados, indicando que não está a funcionar num ransomware-as-a-service (RaaS) modelo.
“Os resgates são fixados em pouco mais de dois bitcoins (US $47.000), e as vítimas têm três dias para pagar”, empresa de ciber-segurança Intel471 disse.
Embora inicialmente se suspeitasse que as intrusões envolviam o abuso de um bug OpenSLP de dois anos de idade, agora corrigido no VMware ESXi (CVE-2021-21974), foram relatados compromissos em dispositivos que têm o protocolo de descoberta de rede desactivado.
Desde então, a VMware afirmou não ter encontrado provas que sugiram que uma vulnerabilidade de dia zero no seu software esteja a ser utilizada para propagar o resgate.
Isto indica que os actores da ameaça por detrás da actividade podem estar a alavancar várias vulnerabilidades conhecidas em ESXi em seu benefício, tornando imperativo que os utilizadores se movam rapidamente para a actualização para a versão mais recente. Os ataques têm ainda de ser atribuídos a um actor ou grupo de ameaça conhecido.
“Com base na nota de resgate, a campanha está ligada a um único actor ou grupo ameaçador”, Lobo do Árctico assinalado. “Grupos de resgate mais estabelecidos normalmente conduzem o OSINT sobre potenciais vítimas antes de conduzir uma intrusão e definem o pagamento do resgate com base no valor percebido”.
Empresa de Segurança Cibernética Rapid7 disse encontrou 18.581 servidores ESXi virados para a Internet que são vulneráveis ao CVE-2021-21974, acrescentando que observou ainda agentes RansomExx2 oportunisticamente apontados para servidores ESXi susceptíveis.
“Embora o impacto em dólares desta violação em particular possa parecer baixo, os ciberataqueiros continuam a atormentar as organizações através da morte por mil cortes”, disse Tony Lauro, director de tecnologia e estratégia de segurança da Akamai.
“O resgate do ESXiArgs é um excelente exemplo da razão pela qual os administradores de sistemas precisam de implementar rapidamente as correcções após a sua libertação, bem como o comprimento a que os atacantes irão para fazer com que os seus ataques sejam bem sucedidos. No entanto, a aplicação de correcções é apenas uma linha de defesa em que se pode confiar”.