ESXiArgs: Cisa veröffentlicht Skript zur Rettung virtueller Maschinen

Die für Cybersicherheit zuständige US-Behörde Cisa hat ein Skript veröffentlicht, mit dem sich Betroffene der ESXiArgs-Ransomware helfen können. Darunter beispielsweise US-Universitäten und -Gerichte, aber auch Stellen in Frankreich, Großbritannien, Kanada und Italien meldeten entsprechende Angriffe. Laut Cisa sind 3.800 Server weltweit betroffen. Die Angriffe dauern an.

Zwar wurde die von ESXiArgs genutzte Sicherheitslücke in der Software VMWare ESXi bereits vor längerer Zeit geschlossen, offensichtlich haben jedoch viele Behörden, Unternehmen und andere Nutzer die entsprechenden Patches noch nicht eingespielt. Ein Skript der Cisa auf Github soll den Betroffenen dabei helfen, ihre virtuellen Maschinen wiederherzustellen. Dabei betont die Behörde, dass das Skript auf öffentlich zugänglichen Informationen der Sicherheitsforscher Enes Sönmez und Ahmet Aykaç basiere.

Cisa-Skript kann virtuelle Maschinen retten

Das recover.sh genannte Skript macht sich zunutze, dass die Angreifer temporäre Einstellungen der virtuellen Maschinen oftmals nicht mitverschlüsselt haben. Sind diese vorhanden und nicht verschlüsselt, hilft das Skript dabei, sie wieder herzustellen, und kopiert die von der Ransomware verschlüsselten Dateien in einen entsprechend benannten Ordner. In anderen Fällen kann das Skript den Betroffenen nicht weiterhelfen.

Vor dem Einsatz des Skriptes, aber auch allgemein sollte sichergestellt werden, dass VMWare ESXi auf den aktuellen Stand gebracht und damit die Sicherheitslücke gepatcht wurde. Anschließend rät die Cisa dazu, die Installation durch das Deaktivieren des Service Location Protocol (SLP) zu härten und sicherzustellen, dass der ESXi-Hypervisor nicht ungeschützt über das Internet zu erreichen ist.