ESXiArgs勒索軟體攻擊持續擴大 歐洲再淪陷逾500台伺服器

編譯／鄭智懷

資安業者Censys指出，持續延燒的ESXiArgs勒索軟體攻擊再出現新的受害者，歐洲各國有超過500台伺服器遭到入侵。該業者還從贖金票據的比對發現，本次攻擊事件可能與在2022年年中開始，同樣針對ESXi設備的Cheerscrypt勒索軟體有相當的關聯。

該業者表示，在本周開始的第二波大規模攻擊中，於2023年2月11日至12日之間觀察到的500多台被感染之伺服器主要集中在歐洲，特別是法國（217台）、德國（137台）、荷蘭（28台）、英國（23台）和烏克蘭（19台）五個國家。

為了更清楚瞭解ESXiArgs勒索軟體的運作機制，Censys分析最初被感染的兩台伺服器上的贖金票據的結果發現，其用語和2022年5月，同樣以ESXi伺服器為攻擊目標的Cheerscrypt勒索軟體雷同，可見本次攻擊事件與其可能有高度關聯。

不過，在美國網路安全暨基礎設施安全局（CISA）和聯邦調查局（FBI）釋出恢復腳本後，Censys觀察到新版的ESXiArgs勒索軟體不僅改變了加密方式，使執法單位開發的解密器無效，上述兩台觀察樣本的贖金票據用語也一起更改。

《The Hacker News》報導，ESXiArgs勒索軟體疑似基於外洩的Babuk 勒索軟體程式碼而開發。前述的Cheerscrypt，以及PrideLocker等勒索軟體都是由Babuk衍生而來。

資安業者Bitdefender的技術解決部門主任Martin Zugec認為，ESXiArgs勒索軟體攻擊事件提醒了各界保持系統與補丁在最新更新版本的重要性。Martin Zugec補充：「當攻擊者知道許多組織容易被救技術攻破，就不需要尋找新的攻擊或新技術。」而導致這種現象的主要原因就是缺乏適當的補丁和風險管理。

資料來源：The Hacker News

瀏覽 438 次