Sau khi Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) phát hành bộ giải mã giúp các nạn nhân bị ảnh hưởng phục hồi sau các cuộc tấn công các cuộc tấn công bằng mã độc tống tiền ESXiArgs, các tác nhân đe dọa đã quay trở lại với phiên bản cập nhật mã hóa nhiều dữ liệu hơn.
Sự xuất hiện của biến thể mới được báo cáo bởi một quản trị viên hệ thống trên một diễn đàn trực tuyến, nơi một người tham gia khác tuyên bố rằng các tệp lớn hơn 128MB sẽ được mã hóa 50% dữ liệu của chúng, khiến quá trình khôi phục trở nên khó khăn hơn.
Một thay đổi đáng chú ý khác là việc xóa địa chỉ Bitcoin khỏi ghi chú đòi tiền chuộc, với những kẻ tấn công hiện đang thúc giục nạn nhân liên hệ với chúng trên Tox để lấy thông tin ví.
Censys cho biết trong một báo cáo: “Kẻ tấn công đã nhận ra rằng các nhà nghiên cứu đang theo dõi các khoản thanh toán của họ và thậm chí họ có thể đã biết trước khi phát hành ransomware rằng quy trình mã hóa trong biến thể ban đầu tương đối dễ bị phá vỡ” .
Số liệu thống kê được chia sẻ bởi nền tảng nguồn lực cộng đồng Ransomwhere tiết lộ rằng có tới 1.252 máy chủ đã bị lây nhiễm bởi phiên bản mới của ESXiArgs kể từ ngày 9 tháng 2 năm 2023, trong đó có 1.168 máy chủ bị tái lây nhiễm.
Công ty an ninh mạng Intel471 cho biết: “Số tiền chuộc được ấn định chỉ hơn hai bitcoin (47.000 đô la Mỹ) và nạn nhân có ba ngày để thanh toán” .
Mặc dù ban đầu nghi ngờ rằng các vụ xâm nhập liên quan đến việc lạm dụng lỗi OpenSLP – hiện đã được vá trong VMware ESXi (CVE-2021-21974), các thỏa hiệp đã được báo cáo trong các thiết bị đã tắt giao thức khám phá mạng.
Kể từ đó, VMware cho biết họ không tìm thấy bằng chứng nào cho thấy lỗ hổng zero-day trong phần mềm của họ đang được sử dụng để truyền bá mã độc tống tiền.
Điều này cho thấy rằng các tác nhân đe dọa đằng sau hoạt động này có thể đang tận dụng một số lỗ hổng đã biết trong ESXi để làm lợi thế cho chúng, khiến người dùng bắt buộc phải nhanh chóng cập nhật lên phiên bản mới nhất. Các cuộc tấn công vẫn chưa được quy cho một tác nhân hoặc nhóm đe dọa đã biết.
“Dựa trên ghi chú đòi tiền chuộc, chiến dịch được liên kết với một tác nhân hoặc nhóm đe dọa duy nhất,” Arctic Wolf chỉ ra. “Các nhóm ransomware được thành lập nhiều hơn thường tiến hành OSINT đối với các nạn nhân tiềm năng trước khi tiến hành xâm nhập và đặt khoản thanh toán tiền chuộc dựa trên giá trị nhận thức được.”
Công ty an ninh mạng Rapid7 cho biết họ đã tìm thấy 18,581 máy chủ ESXi hướng tới internet dễ bị tấn công bởi CVE-2021-21974, đồng thời cho biết thêm họ quan sát thấy các tác nhân RansomExx2 nhắm mục tiêu cơ hội vào các máy chủ ESXi nhạy cảm.
Tony Lauro, giám đốc chiến lược và công nghệ bảo mật tại Akamai, cho biết: “Mặc dù tác động của đồng đô la của vụ vi phạm cụ thể này có vẻ thấp, nhưng những kẻ tấn công mạng vẫn tiếp tục gây khó khăn cho các tổ chức thông qua cái chết bằng một nghìn lần cắt giảm. ”
“Phần mềm tống tiền ESXiArgs là một ví dụ điển hình về lý do tại sao quản trị viên hệ thống cần triển khai các bản vá lỗi một cách nhanh chóng sau khi chúng được phát hành, cũng như độ dài mà những kẻ tấn công sẽ phải trải qua để thực hiện các cuộc tấn công của chúng thành công. Tuy nhiên, vá lỗi chỉ là một tuyến phòng thủ để dựa vào”.
