قبل أيام قليلة، أبلغنا أن وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) Cybersecurity and Infrastructure Security Agency أصدرت برنامجًا نصيًا يمكن أن يساعد المستخدمين المتأثرين بهجوم ESXiArgs ransomware. يبدو أن مجرمي الإنترنت الذين يقفون وراء الهجوم قد واجهوا هذه الخطوة بالفعل، حيث قيل إنهم طوروا متغيرًا جديدًا لم يعد من الممكن فك تشفيره باستخدام نص CISA.
وفقًا لتقرير صادر عن Malwarebytes، لم يقم البديل القديم لبرنامج الفدية بتشفير أجزاء كبيرة من البيانات. الإصدار الجديد، مع ذلك، يقوم أيضًا بتشفير أجزاء كبيرة من البيانات. ونظرًا لأن أداة فك تشفير CISA تستخدم الملفات المسطحة الكبيرة وغير المشفرة في الغالب، فإن استرداد VM يصبح أقرب إلى المستحيل.
يأتي الإصدار الجديد من ESXiArgs ransomware أيضًا مع ملاحظة فدية جديدة لم تعد تذكر عنوان Bitcoin. بدلاً من ذلك، تحث المذكرة الضحايا على الاتصال بجهة التهديد على Tox، وهي خدمة مراسلة مشفرة. هذا على الأرجح لأن الجهات الفاعلة في التهديد لا تريد تتبع المدفوعات من خلال blockchain، والتي يمكن أن تكشف عن هويتهم.
وفقًا لـ CISA ومكتب التحقيقات الفيدرالي، وقع حوالي 3800 خادم ضحية لبرمجيات الفدية EXSiArgs على مستوى العالم. ومع ذلك، يتوقع الباحثون في شركة الأمن السيبراني Arctic Wolf أنه يمكن أن يكون أعلى. في الوقت الحالي، تنصح Malwarebytes مستخدمي ESXi بالحفاظ على أنظمتهم محدثة أو جعل أجهزة ESXi VM الخاصة بهم غير قابلة للوصول من الإنترنت.
وفقًا لتقرير صادر عن Malwarebytes، لم يقم البديل القديم لبرنامج الفدية بتشفير أجزاء كبيرة من البيانات. الإصدار الجديد، مع ذلك، يقوم أيضًا بتشفير أجزاء كبيرة من البيانات. ونظرًا لأن أداة فك تشفير CISA تستخدم الملفات المسطحة الكبيرة وغير المشفرة في الغالب، فإن استرداد VM يصبح أقرب إلى المستحيل.
يأتي الإصدار الجديد من ESXiArgs ransomware أيضًا مع ملاحظة فدية جديدة لم تعد تذكر عنوان Bitcoin. بدلاً من ذلك، تحث المذكرة الضحايا على الاتصال بجهة التهديد على Tox، وهي خدمة مراسلة مشفرة. هذا على الأرجح لأن الجهات الفاعلة في التهديد لا تريد تتبع المدفوعات من خلال blockchain، والتي يمكن أن تكشف عن هويتهم.
وفقًا لـ CISA ومكتب التحقيقات الفيدرالي، وقع حوالي 3800 خادم ضحية لبرمجيات الفدية EXSiArgs على مستوى العالم. ومع ذلك، يتوقع الباحثون في شركة الأمن السيبراني Arctic Wolf أنه يمكن أن يكون أعلى. في الوقت الحالي، تنصح Malwarebytes مستخدمي ESXi بالحفاظ على أنظمتهم محدثة أو جعل أجهزة ESXi VM الخاصة بهم غير قابلة للوصول من الإنترنت.
