L’attacco effettuato contro VMware ESXi, sfruttando una vecchia vulnerabilità, non ha avuto un grande successo (circa 2.800 server nel mondo e una ventina in Italia). I cybercriminali hanno inoltre commesso un errore nella procedura di cifratura dei file. La CISA (Cybersecurity and Infrastructure Security Agency) degli Stati Uniti ha quindi rilasciato uno script per permette di recuperare le macchine virtuali.
ESXiArgs-Recover: tool di ripristino automatico
Il ransomware, denominato ESXiArgs, applica la crittografia RSA ai file con estensioni .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram e .vmem. I file .vmdk sono quelli relativi al disco della macchina virtuale, ma VMware ESXi salva i dati reali nei file flat.vmdk che non sono stati cifrati dal ransomware.
Due ricercatori di sicurezza hanno quindi pubblicato una guida dettagliata che permette di ricostruire i metadati della macchina virtuale dai dischi virtuali non cifrati. La procedura è piuttosto lunga e complessa, quindi la CISA ha creato ESXiArgs-Recover, un tool che automatizza l’operazione di ripristino.
Lo script tenta di recuperare i file .vmdk a partire dai file flat.vmdk. L’agenzia statunitense consiglia però di verificare prima se lo script è adatto per l’ambiente in uso. Meglio effettuare un backup preventivo. Se l’operazione viene completata con successo è possibile effettuare la registrazione della macchina virtuale in VMware ESXi. I passi da seguire sono elencati su GitHub.
VMware ha sottolineato che il ransomware non sfrutta una vulnerabilità zero-day, ma un bug di quasi due anni fa. Gli amministratori IT dovevano quindi installare la patch rilasciata all’epoca. L’azienda californiana suggerisce inoltre di disattivare il servizio OpenSLP.