恶意软件迭代升级，ESXiArgs 勒索软件攻击多达3,800多台服务器

在最近的 ESXiArgs 勒索软件攻击中，全球有超过 3,800 台服务器遭到破坏，其中还包括改进的流程。

ESXiArgs 勒索软件攻击事件有了一些新的进展，包括与恶意软件使用的加密方法、受害者以及黑客利用的漏洞有关。

在美国网络安全和基础设施安全局 (CISA) 宣布推出一款旨在帮助 ESXiArgs 勒索软件的部分受害者无需支付赎金即可恢复文件的开源工具后，FBI 和 CISA 发布了一份提供恢复指导的文件。

FBI 和 CISA 发现全球有 3,800 多台服务器在 ESXiArgs 勒索软件攻击中遭到破坏。 

目前，Shodan和Censys搜索引擎显示有 1,600-1,800 台被黑客攻击的服务器，但有迹象表明，许多受影响的组织已经开始响应攻击并清理他们的系统。

路透社经过分析，确定受害者包括佛罗里达州最高法院以及美国和欧洲的大学。

对 ESXiArgs 攻击中部署的文件加密恶意软件的分析表明，它的目标是与虚拟机 (VM) 相关的文件。但专家注意到，该勒索软件主要针对虚拟机配置文件，并没有对存储数据的平面文件进行加密，从而让部分用户恢复了数据。

美国政府发布的工具根据未加密的平面文件重构加密的配置文件。 

然而，Bleeping Computer 周三报道说，一些受害者已成为新版本 ESXiArgs 恶意软件的目标，该恶意软件具有不同的加密过程，涉及加密更多数据，从而阻止文件恢复。 

到目前为止，勒索软件并未加密大文件中的大部分数据，但新版本的恶意软件加密了大文件中数量更多的数据。到目前为止，研究人员还没有发现实际加密存在任何漏洞，导致加密文件无法恢复。

假设 ESXiArgs 攻击利用 CVE-2021-21974 进行初始访问。这是VMware于2021年2月修复的VMware ESXi中的一个高危远程代码执行漏洞，该漏洞与OpenSLP相关。

VMware 尚未确认对 CVE-2021-21974 的利用，但它确实表示没有证据表明攻击中利用了零日漏洞。

然而，威胁情报公司 GreyNoise 不相信有足够的证据表明 CVE-2021-21974 正在被利用。GreyNoise 指出，近年来在 ESXi 中发现了多个与 OpenSLP 相关的漏洞，其中任何一个都可能在 ESXiArgs 攻击中被利用，包括 CVE-2020-3992 和 CVE-2019-5544。 

云安全公司 Wiz 收集的数据显示，截至 2 月 7 日，12% 的 ESXi 服务器未针对 CVE-2021-21974 打补丁，容易受到攻击。 

这些攻击尚未归因于已知的威胁行为者，但迄今为止收集的证据表明，文件加密恶意软件基于 2021 年泄露的 Babuk 源代码。 

SOC 即服务提供商 Arctic表示： “由于赎金需求相对较低 (2 BTC) 且目标广泛、投机，我们有适度的信心评估该活动与以‘大型游戏狩猎’而闻名的勒索软件组织无关。”狼。“更成熟的勒索软件组织通常在进行入侵之前对潜在受害者进行 OSINT，并根据感知价值设置赎金支付。”

思维导图下载：GB-T 39276-2020 网络产品和服务安全通用要求

网络安全等级保护：移动互联安全扩展测评PPT

300多页网络安全知识小册子2023版下载

网络安全等级保护：网络安全等级保护安全设计技术要求PPT

全国网络安全等级测评与检测评估机构目录

分析显示：98% 的公司的供应链关系已被破

网络安全的下一步是什么

网络安全等级保护：第三级网络安全设计技术要求整理汇总

网络安全等级保护：信息安全服务提供方管理要求

网络安全对抗行为（十八）：用于了解恶意操作的模型及攻击归因和结论

网络安全对抗行为（十九）：词汇表

网络安全培训：如何建立网络意识的企业文化

网络安全取证（九）操作系统分析之存储取证

网络安全取证（十）操作系统分析之存储取证

网络安全取证（十二）数据恢复和文件内容雕刻

网络安全取证（十六）云取证

网络安全取证（十七）伪影分析

网络安全取证（十三）数据恢复和文件内容雕刻（下）

网络安全取证（十一）操作系统分析之块设备分析

网络安全运营和事件管理（二十）：执行-缓解和对策之拒绝服务

网络安全运营和事件管理（二十二）：执行-缓解和对策之站点可靠性工程

网络安全运营和事件管理（二十六）：知识-智能和分析之态势感知

网络安全运营和事件管理（二十七）：人为因素：事件管理

网络安全运营和事件管理（二十三）：知识-智能和分析之网络安全知识管理

网络安全运营和事件管理（二十四）：知识-智能和分析之蜜罐和蜜网

网络安全运营和事件管理（二十五）：知识-智能和分析之网络威胁情报

网络安全运营和事件管理（二十一）：执行-缓解和对策之SIEM平台和对策

网络安全运营和事件管理（十八）：计划-警报关联

网络安全运营和事件管理（十九）：执行-缓解和对策之入侵防御系统

网络安全运营和事件管理（十六）：分析之基准利率谬误

网络安全运营和事件管理（十七）：计划-安全信息和事件管理及数据收集

网络安全运营和事件管理（一）：简介

网络安全之事件管理

网络安全之云计算的安全风险

网络安全知识：什么是社会工程学

网络安全知识体系1.1对抗行为（十七）：用于了解恶意操作的模型之地下经济建模为资本流动

网络安全知识体系1.1对抗行为（十三）：恶意操作的要素之支付方式

网络安全知识体系1.1恶意软件和攻击技术（六）：恶意软件分析

网络安全知识体系1.1恶意软件和攻击技术（十三）：恶意软件响应及中断

网络安全知识体系1.1法律法规（二十）信息系统犯罪的执法与处罚

网络安全知识体系1.1法律法规（二十八）法律约束—合同

网络安全知识体系1.1法律法规（二十九）侵权行为

网络安全知识体系1.1法律法规（二十六）违约和补救措施

网络安全知识体系1.1法律法规（二十七）合同对非缔约方的影响

网络安全知识体系1.1法律法规（二十五）责任限制和责任排除

网络安全知识体系1.1法律法规（二十一）不受欢迎的自助：软件锁定和黑客攻击

网络安全知识体系1.1法律法规（九）数据主权问题

网络安全知识体系1.1法律法规（三十）  对缺陷产品严格负责

网络安全知识体系1.1法律法规（三十八）国际待遇和法律冲突

网络安全知识体系1.1法律法规（三十二）赔偿责任的数额

网络安全知识体系1.1法律法规（三十九）互联网中介机构-免于承担责任和撤销程序

网络安全知识体系1.1法律法规（三十六）执行–补救措施

网络安全知识体系1.1法律法规（三十七）逆向工程

网络安全知识体系1.1法律法规（三十三）

网络安全知识体系1.1法律法规（三十三）归因、分摊和减少侵权责任

网络安全知识体系1.1法律法规（三十四）法律冲突–侵权行为

网络安全知识体系1.1法律法规（三十五）知识产权

网络安全知识体系1.1法律法规（三十一）  限制责任范围：法律因果关系

网络安全知识体系1.1法律法规（十）国际人权法的基础

网络安全知识体系1.1法律法规（十八）执行和处罚

网络安全知识体系1.1法律法规（十二）国家以外的人的拦截

网络安全知识体系1.1法律法规（十九）电脑犯罪

网络安全知识体系1.1法律法规（十六）国际数据传输

网络安全知识体系1.1法律法规（十七）  个人数据泄露通知

网络安全知识体系1.1法律法规（十三）数据保护

网络安全知识体系1.1法律法规（十四）核心监管原则

网络安全知识体系1.1法律法规（十五）适当的安全措施

网络安全知识体系1.1法律法规（十一）国家拦截

网络安全知识体系1.1法律法规（四十）文件非物质化和电子信托服务

网络安全知识体系1.1法律法规（四十二）国际公法

网络安全知识体系1.1法律法规（四十三）其他监管事项

网络安全知识体系1.1法律法规（四十四）结论：法律风险管理

网络安全知识体系1.1法律法规（四十一）  伦理学

网络安全知识体系1.1风险管理和治理（八）安全度量

网络安全知识体系1.1风险管理和治理（九）业务连续性

网络安全知识体系1.1风险管理和治理（六）脆弱性管理

网络安全知识体系1.1风险管理和治理（七）风险评估和管理

网络安全知识体系1.1风险管理和治理（十）结论

网络安全知识体系1.1风险管理和治理（五）风险评估与管理方法（下）

网络安全知识体系1.1人为因素（二）：可用的安全性——基础

网络安全知识体系1.1人为因素（一）：了解安全中的人类行为

网络安全知识体系1.1隐私和在线权利（八）：隐私作为透明度及基于反馈的透明度

网络安全知识体系1.1隐私和在线权利（九）：隐私作为透明度及基于审计的透明度

网络安全知识体系1.1隐私和在线权利（六）：隐私作为控制之支持隐私设置配置

网络安全知识体系1.1隐私和在线权利（七）：隐私作为控制之支持隐私政策谈判和可解释性

原文始发于微信公众号（河南等级保护测评）：恶意软件迭代升级，ESXiArgs 勒索软件攻击多达3,800多台服务器