Das Forschungsteam Censys hat die Verbreitung der ESXiArgs-Ransomware seit ihrer Entdeckung Anfang Februar genau verfolgt. Das Team hat die Internet-Scandaten von Censys verwendet, um infizierte Hosts in verschiedenen Ländern zu verfolgen, um zu beobachten, wie die Hackergruppe seither reagiert hat, und um ein Dashboard mit Censys Daten zu entwickeln, mit denen Forscher die Ransomware verfolgen können.
Im Zuge der ESXiArgs-Ransomware-Aktivitäten wurden die Geschichte und die Arbeit unseres Teams in mehr als 20 Branchenpublikationen aufgegriffen, Tendenz steigend. Im Folgenden finden Sie eine Übersicht der wichtigsten Artikel.
ESXiArgs-Erpressersoftware: Eine Zeitleiste der Ereignisse
Lassen Sie uns zunächst die Ereignisse seit der Entdeckung der ESXiArgs-Ransomware Revue passieren.
Anfang Februar begann eine Ransomware-Kampagne, die auf VMWare ESXi-Server abzielte. Die Infektionen erreichten am 3. Februar ihren Höhepunkt. Zu diesem Zeitpunkt beobachtete Censys 3.551 infizierte Hosts.
2. Interessanterweise stellte die Kampagne die Erpresserbriefe ins Internet, so dass sie für Censys' passive Scanner sichtbar waren. Wir konnten auch sehen, dass Bitcoin-Wallet-Adressen auf den Lösegeld-Seiten veröffentlicht wurden, was es uns ermöglichte, die Zahlungen zu verfolgen.
3. Wir haben festgestellt, dass es in Frankreich, den USA, Deutschland, Kanada und anderen Ländern Anschläge gegeben hat, viele davon in Frankreich.
4. Die CISA veröffentlichte daraufhin ein Entschlüsselungstool; die Hackergruppe reagierte jedoch, indem sie BTC-Adressen entfernte und zusätzliche Daten verschlüsselte, wodurch die vorhandenen Entschlüsselungstools unwirksam wurden.
5. Am 11. Februar beobachtete das Team von Censys einen Ausbruch neu infizierter Hosts und entdeckte zwei Hosts mit sehr ähnlichen Erpresserbriefen, die auf Mitte Oktober 2022 datiert waren, kurz nachdem die ESXi-Versionen 6.5 und 6.7 das Ende ihrer Lebensdauer erreicht hatten.
6. Das Team von Censys erstellte ein Dashboard (unter Verwendung der Daten von Censys , die alle 24 Stunden aktualisiert werden), damit die Forscher die Verbreitung der Kampagne verfolgen können.
Eine vollständige Aufschlüsselung der Arbeit unseres Forschungsteams finden Sie in diesem Entwicklung der ESXiArgs-Ransomware Censys Blog-Beitrag.
Berichterstattung in der Presse
Bleeping Computer - Massiver ESXiArgs-Ransomware-Angriff zielt auf VMware ESXi-Server weltweit
In diesem Artikel vom 3. Februar, der an dem Tag veröffentlicht wurde, an dem Censys den Höhepunkt der ESXiArgs-Ransomware-Infektionen beobachtete, berichtete Bleeping Computer über das aktive Anvisieren von VMware ESXi-Servern. In einer Aktualisierung des Artikels vom 6. Februar zitiert Bleeping Computer neue Daten von Censys über infizierte Server: "...die Zahl stieg über das Wochenende schnell an, mit 2.400 VMware ESXi-Geräten weltweit, die laut einer Censys -Suche derzeit als von der Ransomware-Kampagne betroffen erkannt wurden."
Cyberscoop - Weltweite Ransomware-Attacke infiziert ungepatchte VMWare-Server. CISA hat eine (mögliche) Lösung.
Cyberscoop berichtet, wie das französische CERT-FR die Ransomware ESXiArgs anhand der Internet-Scandaten von Censys entdeckte, und erläutert, wie Betroffene das Ransomware-Wiederherstellungsskript von CISA auf GitHub nutzen können.
Reuters. Italien: Keine Beweise, dass der weltweite Ransomware-Hack von einer staatlichen Einrichtung ausging
Reuters beruft sich auf Daten von Censys , die zeigen, dass Tausende von Servern auf der ganzen Welt von der ESXiArgs-Ransomware betroffen sind, wobei sich die meisten in Frankreich, den USA und Deutschland befinden. Reuters berichtet, dass Italiens Nationale Cybersicherheitsbehörde trotz des globalen Charakters des Angriffs nicht glaubt, dass "ein Staat oder eine feindliche staatsähnliche Einheit" verantwortlich ist.
Die Hacker News - ESXiArgs Ransomware trifft über 500 neue Ziele in europäischen Ländern
Am 16. Februar berichtete The Hacker News Censys, dass neue Ziele in Europa von der ESXiArgs-Ransomware betroffen sind. In dem Artikel heißt es: "Die Erkenntnisse stammen von der Firma für Angriffsflächenmanagement Censys, die "zwei Hosts mit auffallend ähnlichen Erpresserbriefen entdeckt hat, die auf Mitte Oktober 2022 zurückgehen, kurz nachdem die ESXi-Versionen 6.5 und 6.7 das Ende ihrer Lebensdauer erreicht hatten." Die Hacker News enthalten auch Aussagen von Censys Senior Security Researchers Mark Ellzey und Emily Austin.
TechTalk. Tausende von Opfern offenbar von ESXiArgs-Ransomware betroffen
TechTalk sprach mit Censys Senior Security Researcher Emily Austin über die Welle von Hosts, die von einer neuen Variante der ESXiArgs-Ransomware infiziert wurden. "'Die Bedrohungsakteure haben wahrscheinlich die Updates der Sicherheits-Community verfolgt und erkannt, dass die Forscher ihre Zahlungen verfolgen. Möglicherweise wussten sie sogar schon vor der Veröffentlichung der Ransomware, dass der Verschlüsselungsprozess in der ursprünglichen Variante relativ leicht zu umgehen war', so Austin."
Equinix - LinkedIn-Berichterstattung vom Leiter des Equinix Threat Analysis Center, Sean O'Conner
Die Arbeit des Forschungsteams Censys an der Ransomware ESXiArgs erregte die Aufmerksamkeit des Leiters des Equinix Threat Analysis Center, Sean O'Conner. Sean zeigte das interaktive Dashboard des Censys -Teams und wies auf eine Reihe neu infizierter Server hin, die von Censys gescannt worden waren.
Lesen Sie weiter
Weitere Presseberichte über die ESXiArgs-Ransomware umfassen: