16/12/2024

Actu CybersécuritéEntreprise

Victime du ransomware ESXiArgs ? La CISA a mis en ligne un script de récupération !

La CISA a mis en ligne un script permettant de récupérer les machines virtuelles des serveurs VMware ESXi chiffrés par les récentes attaques de ransomware ESXiArgs. Faisons le point.

Pour rappel, depuis la fin de semaine dernière, il y a énormément de cyberattaques à destination des serveurs VMware ESXi ! Les pirates cherchent à exploiter la vulnérabilité CVE-2021-21974 (associée au service SLP), pour laquelle il existe un patch depuis février 2021. Plusieurs versions de VMware ESXi sont affectées, dont ESXi 6.5, ESXi 6.7 et certaines versions d'ESXi 7.

Même si plusieurs milliers de serveurs ESXi ont été chiffrés, la campagne n'est pas aussi efficace qu'elle en a l'air, car le ransomware utilisé par les cybercriminels ne parvient pas à chiffrer certains fichiers. Grâce à cela, il est possible de restaurer les disques durs virtuels des machines virtuelles ! C'est d'ailleurs clairement mentionné sur le site enes.dev : merci à ses auteurs, Enes Sonmez et Ahmet Aykac.

Disponible sur GitHub, le script ESXiArgs-Recover va permettre aux entreprises affectées de restaurer leurs machines virtuelles à partir des fichiers non chiffrés ("flat"). Sur la page du script, c'est précisé : "Le CISA est conscient que certaines organisations ont réussi à récupérer des fichiers sans payer de rançon. Le CISA a compilé cet outil en se basant sur des ressources accessibles au public, notamment un tutoriel rédigé par Enes Sonmez et Ahmet Aykac. Cet outil fonctionne en reconstruisant les métadonnées des machines virtuelles à partir des disques virtuels qui n'ont pas été chiffrés par le logiciel malveillant."

Une fois le processus effectué à l'aide du script ESXiArgs-Recover, il convient de créer une nouvelle machine virtuelle et de lui attacher le disque virtuel restauré. Toutefois, ce script peut ne pas fonctionner dans certains cas et l'agence CISA le met à disposition sans aucune garantie.

N'attendez pas d'en arriver-là, mettez à jour vos serveurs VMware ESXi ! Ou, à minima désactivez le service SLP en attendant de le faire.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.