ESXiArgs勒索軟體攻擊持續擴大 全球近4千台伺服器受損

編譯／鄭智懷

在本月（2月）稍早開始，針對全球VMware ESXi伺服器而來的大規模ESXiArgs 勒索軟體攻擊持續發酵。美國網路安全暨基礎設施安全局（CISA）和聯邦調查局（FBI）釋出恢復腳本，協助受害者回覆系統。然而，第二波ESXiArgs 勒索軟體攻擊在本周來襲，更新的加密方式使先前的解密器失去效果。

據各方統計，全球共有3,800多台VMware ESXi伺服器遭到破壞，主要集中在美國和加拿大，以及法國、德國與荷蘭等歐洲國家。受害者包含佛羅里達州最高法院，以及歐美國家多家大學。

在第一波攻擊中，專家發現ESXiArgs加密的檔案以虛擬機器（VM）相關者為主，並未對實體設備的檔案手，並且可能跳過大於128MB的檔案，或是僅加密其中一部份。而美國網路安全暨基礎設施安全局和聯邦調查局釋出的恢復腳本就是根據後兩者開發，使受害者得以恢復檔案。

不過，在第二波攻擊中，駭客更新了ESXiArgs的內容，所有超過128MB的檔案都將加密一辦的數據。由於過多的檔案數據被加密，過去的恢復腳本已經無法因應新版ESXiArgs，失去恢復數據的效果。

目前，各界對於ESXiArgs究竟是利用兩年之前發現，但已經提供補丁修復的VMware ESXi伺服器安全漏洞CVE-2021-21974，還是其他近年來發現的CVE-2020-3992 和 CVE-2019-5544等安全漏洞發起本次攻擊仍未有共識。

而資訊公司VMware也無法確認是否是CVE-2021-21974被利用於本次攻擊行動，僅能表示在攻擊中被未發現有任何零時差漏洞（zero-day vulnerability）被運用的證據。

資料來源：SecurityWeek、BleepingComputer

瀏覽 828 次