Ransomware-Angriffe: Aktualisierte Malware hebelt ESXiArgs-Recovery-Script aus
Das von der CISA bereitgestellte Skript zur Rettung kompromittierter VMware-Server verliert seine Wirkung. Neue Malware-Versionen verschlüsseln umfänglicher.
Notfall im Rechenzentrum
(Bild: vchal/Shutterstock.com)
Das zum Mittwoch dieser Woche von der US-amerikanischen Cyber-Sicherheitsbehörde CISA bereitgestellte Wiederherstellungsskript verliert seine Wirkung. Mit dem Skript ließen sich zunächst virtuelle Maschinen auf von der ESXiArgs genannten Angriffswelle betroffenen VMware-ESXi-Server zumindest zum Teil retten. Die bösartigen Akteure hinter den weltweiten Cyber-Attacken haben jetzt ihre Skripte angepasst und verschlüsseln kompromittierte Maschinen nun gründlicher.
ESXiArgs-Malware: Kleine Änderung, große Wirkung
Wie Bleepingcomputer meldet, haben die Cyberkriminellen hinter der ESXiArgs-Angriffswelle das bösartige Skript zum Verschlüsseln der virtuellen Maschinen auf infiltrierten VMware-Systemen angepasst. Es verschlüsselt jetzt nicht mehr nur kleine Bruchstücke, sondern wesentlich umfangreicher die Dateien von virtuelle Maschinen.
Das Verschlüsselungsskript encrypt.sh des Malware-Pakets suche demzufolge nach unterschiedlichen Dateien von virtuellen Maschinen: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram und .vmem. Laut der Analyse verschlüsselt das Skript Dateien kleiner als 128 MByte vollständig in 1-MByte-Schritten. Bei größeren Dateien hat die ursprüngliche Version 1 MByte verschlüsselt und dann immer ein Prozent der Dateigröße übersprungen, um erneut 1 MByte zu verschlüsseln. Der zu überspringende Teil wurde in der Variable size_step des Skripts auf Basis der Größe der zu verschlüsselnden Datei berechnet.
Basierend auf dieser lückenhaften Verschlüsselung hatte etwa das von der CISA bereitgestellte Skript versucht, die verschlüsselten Dateien wiederherzustellen. Bei jüngeren Angriffen gefundene Versionen von encrypt.sh haben die Angreifer den Wert von size_step schlicht auf 1 gesetzt. Dadurch werden die gefundenen Dateien jetzt gründlicher verschlüsselt – 1 MByte verschlüsselt das Skript, das darauffolgende MByte überspringt es, sodass am Ende die Hälfte der Datei verschlüsselt vorliegt.
Dies sorgt dafür, dass die Reparaturmethode, die das CISA-Wiederherstellungsskript automatisiert, nicht mehr funktioniert. Eine weitere Änderung bei der Angriffwelle betrifft offenbar die Erpresser-Nachrichten. Diese enthielten keine Bitcoin-Adressen mehr. Der Autor Lawrence Abrams vermutet, dass das mit der Sammlung bekannter Adressen aus der Angriffswelle durch IT-Sicherheitsforscher zur Nachverfolgung von Lösegeldzahlungen in einem GitHub-Konto zusammenhängen könnte.
Der mit der neuen Malware-Version infizierte Server hatte angeblich den (Open-)SLP-Dienst deaktiviert, wie von VMware als Gegenmaßnahme empfohlen. Es ist derzeit unklar, ob die Angreifer auf weitere Schwachstellen in VMware abzielen.
(dmk)