米サイバーセキュリティ・インフラセキュリティ庁(CISA)は現地時間2月8日、「VMware ESXi」環境を狙うランサムウェア「ESXiArgs」の被害を受けた仮想マシンを復旧するためのツールをGitHubで公開した。
ESXiArgsランサムウェアはVMware ESXiに存在した既知のOpenSLPヒープオーバーフローの脆弱性(CVE-2021-21974)を悪用し、ファイルを暗号化して、身代金の支払いを要求する。2月3日ごろから各国のサイバーセキュリティ機関などが注意を呼びかけていた。
CISAが公開した復旧ツールは、トルコYoreGroupの技術部門のEnes Sonmez氏とAhmet Aykac氏が公開しているリソースを基に作成したといい、ESXiArgsで暗号化されていない仮想ディスクから仮想マシンのメタデータを再構築することで、被害を受けた仮想マシンを復旧する。ツールに関してYoreGroupの両氏のガイダンスを確認し、慎重に利用ほしいとしている。
Bloombergの6日の報道によると、ESXiArgsによって欧州の金融組織などで2100台以上の仮想マシンに被害が発生。日本のJPCERTコーディネーションセンター(JPCERT/CC)も、 インターネットから接続可能な状態で同製品が稼働するホストマシンが国内で確認され、攻撃を受ける恐れがあると警戒を呼び掛けていた。
CISAによれば、ESXiArgsによる被害を受けた一部の組織は、身代金を支払うことなくファイルを回復することに成功したとのこと。
