Wie getroffen is door de recente golf van ransomware-aanvallen gericht op VMware EXSi-servers, heeft misschien een uitweg. Amerikaanse overheidsinstanties delen een script waarmee gebruikers toegang tot hun VM’s kunnen herstellen.
Wereldwijd zijn al zeker 3.800 EXSi-severs gecompromitteerd door een recente golf van cyberaanvallen. Ransomware maakt het voor slachtoffers onmogelijk om toegang te krijgen tot hun virtuele machines. Eigen schuld, dikke bult, want wie getroffen wordt heeft het twee jaar lang nagelaten om patches te installeren. De kwetsbaarheid waarlangs aanvallers binnenkomen, is immers al sinds 2021 gekend.
Natuurlijk laat niemand zich opzettelijk hacken. De Amerikaanse FBI en CISA doen daarom wat ze kunnen om slachtoffers te helpen. In dit geval is dat best veel: ze bouwden een herstelscript waarmee bedrijven kunnen proberen om hun omgeving te herstellen. Het script is beschikbaar op Github.
Eenvoudige aanval
Herstel is een optie aangezien de aanval in kwestie niet zo geavanceerd is. Hackers treffen vooral de beheerscapaciteiten van de EXSi-servers, maar de databestanden waarop de virtuele drives van de virtuele machines staan, blijven intact. Het script is niet in staat om versleutelde bestanden te ontgrendelen, maar bouwt nieuwe config-bestanden waardoor bedrijven opnieuw toegang krijgen tot hun virtuele machines. De FBI en CISA waarschuwen wel dat het aan ieder bedrijf zelf is om te onderzoeken of het een goed idee is het script in hun omgeving te draaien.
lees ook
Duizenden ongepatchte VMware ESXi-servers getroffen door ransomware
De snelle respons is opmerkelijk en kan alleen maar omdat de eigenlijke waardevolle databestanden niet gecompromitteerd zijn. Slachtoffers hebben met andere woorden geluk. Een toekomstige aanval kan complexer zijn en de databestanden van de virtuele schijven wel mee versleutelen en in dat geval zijn er weinig opties.