Agjencia Amerikane e Sigurisë kibernetike dhe Agjencia e Infrastrukturës së sigurisë (CISA) kanë publikuar një skenar për rekuperimin e serverëve VMWare ESXi të koduara nga sulmet e fundit, të shumëpërhapura ESXiArgs ransomWare.
Duke filluar nga e premtja e kaluar, serverët e ekspozuar VMWare ESXi u vunë në shënjestër na një sulm ESXiArgs ransomWare.
Që pas asaj dite, këto sulme kriptuan 2,800 servera, sipas një liste adresash Bitcoin të mbledhura nga këshilltari teknik i CISA (Agjencia e Infrastrukturës së Sigurisë) Jack Cable.
Ndërkohë që shumë pajisje u koduan, kjo fushatë ishte kryesisht e pasuksesshme pasi sulmuesit nuk arritën të enkriptonin (Flat Files) skedarët e sheshtë ku ruhen të dhënat e disqeve virtuale.
Ky gabim lejoi Enes Sonmez & Ahmet Aykac pjesë të ekipit të teknologjisë “Yregroup” të hartonin një metodë për të rindërtuar makinën virtuale nga skedarët e sheshtë të pa koduar.
Kjo metodë ka ndihmuar shumë njerëz në rikuperimin e serverave. Për disa të tjerë ky proçes ka qenë i komplikuar ndaj shumë njerëz kërkojnë ndihmë në nismën tonë të mbështetjes ESXiArgs.
Script lëshuar për automatizimin e rikuperimit:
Për të ndihmuar përdoruesit në rikuperimin e serverëve të tyre, CISA lëshoi një skenar ESXiArgs-Recover në GitHub për të automatizuar këtë proçes.
“CISA është e vetëdijshme mbi raportimin e disa organizatave të cilat patën sukses në rikuperimin e skedarëve pa paguar shpërblim. CISA përpiloi këtë mjet bazuar në burime informacioni të aksesueshme nga publiku, duke përfshirë gjithashtu një tutorial shoqërues nga Enes Sonmez dhe Ahmet Aykac”.
“Ky mjet funksionon duke rindërtuar metadata të makinës virtuale me anë të disqeve virtuale jo të kriptuara nga virusi.”
Ndërsa projekti i publikuar në GitHub ka hapat e nevojshëm për rikuperimin e makinave virtuale, skenari do të pastrojë skedarët e kriptuar të një makine virtuale dhe më pas do të përpiqet të rindërtojë skedarin .vmdk të saj duke përdorur skedarin e sheshtë të pakriptuar.
Së fundmi, nëse hapat mbyllen me sukses, do të keni mundësinë të regjistroni makinën virtuale në VMWare ESXi për të fituar sërisht akeses në të.
Gjatë viteve të fundit, ekipi ynë i Gold N Links ka hasur sulme të shumta, nga hakerat individualë deri tek sulmet e sponsorizuara nga shteti ndaj kompanive të ndryshme, nga kompanitë e vogla fintech deri tek ndërmarrjet dhe sistemet qeveritare. Si të tillë, ne kemi trajtuar sulme dhe incidente të panumërta, duke përfshirë: DDOS, malware të përparuar dhe sulme të nivelit të lartë kundër infrastrukturës së qeverisë Izraelite. Nepërmjet bashkëpunit që TCE ka me Gold N Links dhe Western Balkans University të gjitha këto shërbime mund të përfitohen nga kompanitë në Shqipëri./tce.al
