Программа-вымогатель ESXiArgs заразила более 500 новых целей в Европе

По данным компании Censys, более 500 европейских организаций стали новыми жертвами программы-вымогателя ESXiArgs. За последние несколько дней новые заражения произошли в следующих странах:

• Франция – 217 новых заражений;
• Германия — 137;
• Нидерланды — 28;
• Великобритания — 23;
• Украина — 19.

Кроме того, первые заражения датируются 12 октября 2022 года — задолго до того, как европейские органы кибербезопасности начали предупреждать о программе-вымогателе 2 февраля 2023 года.

Также во время анализа специалисты обнаружили 2 хоста с очень похожими записками о выкупе, датированными серединой октября 2022 года. Прежде чем широко развернуть кампанию, злоумышленники часто «проверяют» свои методы на нескольких избранных хостах. Анализ каждого из этих хостов показывает наличие записки о выкупе на порту 443 от 12 октября 2022 года и 14 октября 2022 года.

Записка с требованием выкупа почти идентична записке, которую видели тысячи организаций, зараженных во время первой волны заражений. Эта вспышка охватила более 3800 организаций в США, Франции, Италии и других странах, включая Верховный суд Флориды, Технологический институт Джорджии, Университет Райса и несколько школ в Венгрии и Словакии.

Примечательно, что в обнаруженной кампании злоумышленники увеличили сумму выкупа в 2 раза по сравнению с первой волной атак.

Недавно CISA опубликовала дешифратор для ESXiArgs, который, используя недостаток в алгоритме шифрования вредоносного ПО, позволял восстановить зашифрованные файлы. Однако злоумышленники обновили ESXiArgs и исправили эту ошибку , сделав расшифровку практически невозможной.