CISA lanza un script de recuperación para las víctimas del ransomware ESXiArgs

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) ha publicado un script para recuperar servidores VMware ESXi encriptados por los recientes ataques generalizados de ransomware ESXiArgs.

A partir del viernes pasado, los servidores VMware ESXi expuestos fueron objeto de un  ataque generalizado de ransomware ESXiArgs.

Desde entonces, los ataques cifraron 2.800 servidores según una  lista de direcciones de bitcoin  recopilada por el asesor técnico de CISA, Jack Cable.

Si bien se cifraron muchos dispositivos, la campaña fracasó en gran medida ya que los actores de la amenaza no pudieron cifrar los archivos planos, donde se almacenan los datos de los discos virtuales.

Esta vulnerabilidad permitió a Enes Sonmez y Ahmet Aykac del equipo técnico de YoreGroup  idear un método  para reconstruir máquinas virtuales a partir de archivos planos sin cifrar.

Este método ha ayudado a muchas personas a recuperar sus servidores, pero el proceso ha sido complicado para algunos y muchas personas pidieron ayuda en nuestro  tema de soporte de ESXiArgs .

Script lanzado para automatizar la recuperación

Para ayudar a los usuarios a recuperar sus servidores, CISA lanzó un  script ESXiArgs-Recover en GitHub para automatizar el proceso de recuperación.

“CISA es consciente de que algunas organizaciones han informado sobre el éxito en la recuperación de archivos sin pagar rescates. CISA compiló esta herramienta basándose en recursos disponibles públicamente, incluido  un tutorial  de Enes Sonmez y Ahmet Aykac”, explica CISA.

“Esta herramienta funciona mediante la reconstrucción de metadatos de máquinas virtuales a partir de discos virtuales que no fueron encriptados por el malware”.

Si bien la página del proyecto de GitHub tiene los pasos que necesita para recuperar máquinas virtuales, en resumen, el script limpiará los archivos cifrados de una máquina virtual y luego intentará reconstruir el archivo .vmdk de la máquina virtual usando el archivo plano sin cifrar.

Cuando termine, si tiene éxito, puede registrar la máquina virtual nuevamente en VMware ESXi para obtener acceso a la VM nuevamente.

CISA insta a los administradores a revisar el script antes de usarlo para comprender cómo funciona y evitar posibles complicaciones. Si bien la secuencia de comandos no debería causar ningún problema, BleepingComputer recomienda encarecidamente que se creen copias de seguridad antes de intentar la recuperación.

“Si bien CISA trabaja para garantizar que los scripts como este sean seguros y efectivos, este script se entrega sin garantía, ya sea implícita o explícita”. advierte CISA.

“No use este script sin entender cómo puede afectar su sistema. CISA no asume ninguna responsabilidad por los daños causados ​​por este script”.

Fuente: https://www.bleepingcomputer.com/news/security/cisa-releases-recovery-script-for-esxiargs-ransomware-victims/