home-blur
2023-03-23 12.25.39
23/03/2023
EASE News

EUROPE AND UKRAINE WERE “COVERED” BY HACKER ATTACKS DUE TO AN ENCRYPTION VIRUS. GIGACLOUD TELLS YOU HOW TO PROTECT YOURSELF

On February 3, as a result of a large-scale hacker attack, more than 3,000 business servers around the world were encrypted According to various estimates 18,000 servers and thousands of enterprises are at risk including in Ukraine Attackers use the ESXiArgs encryption virus which attacks VMware ESXi servers 

Cloud operator GigaCloud told what kind of virus it is who is at risk and shared instructions on how businesses can protect their data from malicious software. 

WHAT IS ESXIARGS ?

This is crypto- ransomware that encrypts the data of servers based on the VMware ESXi hypervisor , and then replaces the message at the entrance replacing it with ransom demand of several bitcoins 

Malicious software encrypted files with extensions “. vmxf “, “. vmx “, “. vmdk “, “. vmsd ” and “. nvram ” on the compromised ESXi servers and created the file “. args ” for each encrypted document with metadata presumably necessary for decryption ESXiArgs left ransom note on infected systems _ $50,000 in Bitcoins named “ransom.html ” and ” How to Restore Your Files.html” in the format “. html ” or “. txt “. Cyber ​​security experts claim that it is impossible to decrypt the files 

WHEN DID THE VULNERABILITY APPEAR ?

ESXiArgs activity was recorded back in the fall of 2020. VMware then released patch to address one of the vulnerabilities , but it was incomplete and could be bypassed Subsequently, it released second patch, which completely eliminated the vulnerability associated with the possibility of free use use-after-free , UAF). She received the code CVE-2020-3992. Eventually, VMware released third patch that completely eliminates the dynamic memory overflow It was assigned the code CVE-2021-21974. 

In February 2023, two years after the threat was discovered hackers used the vulnerability to attack unprotected servers .

WHO IS AT RISK ?

First of all the attack affected and may still affect companies using outdated versions of ESXi — from 6.x to 6.7, as well as some versions of vSphere 7.0 that were not updated to the latest patch According to Rapid7 estimates this is almost 18,581 servers worldwide .

I AM A GIGACLOUD CLIENT IS ESXIARGS A THREAT TO ME ?

No the ESXiArgs encryptor does not pose any threat to your GigaCloud infrastructure Our team supports current software versions and closes all vulnerabilities in a timely manner 

VMware released a patch that completely closes this vulnerability on February 23, 2021. At the same time more than two years ago, we immediately closed it . You always use the most current version without bugs and vulnerabilities .

We remind you that GigaCloud has the highest partner status of VMware Principal Partner, which guarantees our clients high -quality services based on VMware solutions 

WHO WAS HURT ?

The exact number of affected servers and companies is unknown , but there are thousands of them According to Censys data , 3,200 servers were encrypted in just the first three days of ESXiArgs activity in February 2023 A third of them were in France and cases of infection of the Florida Supreme Court, schools and universities in Hungary and Slovakia , as well as business in the USA, Italy Germany and other countries . There are dozens of cases of infection of servers in Ukraine as well but companies do not declare this publicly 

HOW TO PROTECT YOURSELF ?

If you are not using our clouds, we recommend upgrading vSphere components to the latest available supported releases ― 7.0 and above You also need to disable the OpenSLP service in ESXi 

We also advise on an ongoing basis 

• Use supported versions of VMware software .
• Monitor VMware software updates _
• Use the vSphere Security Configuration Guide to improve the security of your IT infrastructure 
• Control access to IT infrastructure management interfaces (not only vSphere ).
• Use multi-factor authentication and advanced authorization methods .
• Subscribe to the VMware Security Advisory newsletter for early notification of issues .
• Check all vulnerable systems for signs of compromise .

These are general tips , and it is not wise to apply them to all users of VMware solutions Because the security of the IT infrastructure depends on where it is located 

EASE представила світові свою команду
Read more
Співробітництво Powercodе Academy з Chief Digital Transformation Officer Харкову
Read more
THE FIRST CODE. A MINI-EPISODE BASED ON THE MAIN FILM
Read more