L’agenzia statunitense per la cybersicurezza (CISA) ha rilasciato un decryptor che permette di ripristinare i server VMware ESXi che negli ultimi giorni sono stati presi di mira da una campagna malevola a livello globale condotta mediante il ransomware ESXiArgs.
Scopriamo come funziona, analizzando il sistema di cifratura operato dal malware.
Indice degli argomenti
Il decryptor per il ransomware ESXiArgs
Come avevamo riportato nell’analisi dell’incidente domenica, sembra che molti degli attacchi analizzati siano stati portati a termine utilizzando uno script di cifratura che mira, con rapidità, a rendere la virtual machine non operativa, piuttosto che comprometterne tutto il contenuto.
Proprio questo meccanismo ha reso possibile ai tecnici CISA la realizzazione dello script che consente di ripristinare i sistemi compromessi in maniera automatizzata. Lo script di recupero funziona, appunto, solo quando il file flat non è compromesso.
È bene ricordare che questo script è stato realizzato unicamente grazie al tempestivo lavoro di ricerca operato da Enes Sonmez e Ahmet Aykac, che ne avevano anticipato la fattibilità, mediante un algoritmo da eseguire manualmente, già dal 4 febbraio 2023.
Il decryptor, dunque, non fa altro che creare, sulla base del file -flat.vmdk, i nuovi file .vmdk e .vmx che andranno a sostituire quelli ormai corrotti dal ransomware e non più utilizzabili. Questo viene fatto mediante l’utilizzo dello strumento “vmkfstools”.
Recenti rilevamenti, descritti da Bleeping Computer l’8 febbraio, fanno emergere l’esistenza di una nuova variante di questo ransomware, che sembra crittografare maggiori parti di dati del sistema coinvolto.
Non è al momento chiaro se il file -flat viene compromesso in questo nuovo algoritmo crittografico, tuttavia sembra che, le vittime non siano state in grado di ripristinare la situazione mediante l’utilizzo dello script offerto da CISA.
In attesa di ulteriori sviluppi si segnala che, qualora il sistema compromesso risulti non operativo e il file -flat.vmdk non compromesso, c’è comunque modo di ripristinare la situazione valutando di installare il sistema su una macchina terza, ex novo e basando l’installazione sul file -flat intatto. Questo consentirà di recuperarne il contenuto sotto forma di file su disco, come descritto da Enes Sonmez.
Uno sguardo allo script malevolo del ransomware
Fin dai primi attacchi analizzati, era già noto dunque lo script incriminato, responsabile della compromissione dei vari server ESXi in giro per il mondo senza patch di sicurezza. Adesso possiamo analizzarlo nel dettaglio proprio grazie al fatto che lo si può considerare neutralizzato dal procedimento appena descritto, di ripristino.
Il punto fondamentale del funzionamento di questo ransomware è proprio l’insieme di istruzioni che vengono rappresentate in figura. Da qui, notiamo che tutto il meccanismo di crittografia viene attuato unicamente alla ricerca di determinati file nel sistema. Questi file vengono scelti in base alla loro estensione (.vmdk, .vmx, .vmxf ecc), escludendo così tutto il resto del contenuto.
La crittografia viene eseguita, dunque, con questo script, unicamente al ritrovamento di uno dei file corrispondenti a quelle caratteristiche (nome di estensione).
Tutto fa pensare a uno script studiato per essere eseguito in rapidità, al fine di rendere indisponibile la virtual machine (sono tutti file di sistema importanti per l’esecuzione del servizio), ma senza intaccarne il contenuto, cosa che, a seconda dei casi, potrebbe richiedere un tempo elevato.
Altra ipotesi, da non sottovalutare, può essere l’esistenza di più varianti dello stesso ransomware che al momento ancora non conosciamo, qualora venisse operata una crittografia totale del sistema preso di mira.
Anche CISA, nel proprio avviso di pubblicazione del decryptor, allerta sul fatto che qualora il file-flat venisse compromesso, questo script e questa procedura, non funzioneranno per ripristinare il danno.
Ancora una volta è bene cogliere l’occasione per diffondere con sentimento di necessità, l’importanza degli aggiornamenti per qualsiasi infrastruttura/servizio esposto ad Internet. L’esempio di questa campagna, per quanto gli impatti siano stati contenuti, è emblematico di quanto sia importante una buona igiene digitale all’interno dell’organizzazione.
Server strategici, così come server secondari o di test, non fa differenza, apre sempre una porta ad incidenti malevoli indesiderati, che sicuramente l’organizzazione/ente, potrebbe volersi risparmiare.
Questo articolo è stato originariamente pubblicato l’8 febbraio e sottoposto ad aggiornamento il 9/02 con l’aggiunta del dettaglio sul metodo di crittografia utilizzato dalla nuova variante di ransomware.
