ESXiArgs es un ransomware específico para entornos ESXi. El sistema operativo ESXi sirve para la virtualización de máquinas bajo el entorno VmWare y se basa en Linux. Este ransomware se ha especializado en ese entorno debido a la vulnerabilidad CVE-2021-21974 que fue parcheada el 23 de febrero de 2021 pero que aún muchas empresas no han solucionado.
Las versiones que son vulnerables, y por lo tanto son objetivo de este malware, son las siguientes:
- 7.0 antes del parche ESXi70U1c-17325551
- 6.7 antes del parche ESXi670-202102401-SG
- 6.5 antes del parche ESXi650-202102101-SG
Debido a esta vulnerabilidad, se puede ejecutar comandos del sistema operativo de forma remota y tomar control de la máquina. El código del ransomware se divide en dos ficheros:
El primero, en Bash, se encarga de modificar algunas características de sistema operativo, buscar los volúmenes donde se encuentran las máquinas virtuales, filtrar los ficheros según la extensión, ejecutar la herramienta de cifrado y finalmente eliminar las evidencias del sistema operativo.
El segundo es un binario ejecutable ELF que se encarga de cifrar el fichero seleccionado por el script con la configuración establecida por el mismo.
