在美国网络安全和基础设施安全局（CISA）发布了一款解密器，供受影响的受害者从ESXiArgs勒索软件攻击中恢复过来之后，威胁者又重新推出了一个加密更多数据的更新版本。

一位系统管理员在一个在线论坛上报告了新变体的出现，另一位与会者表示，大于128MB的文件将有50%的数据被加密，这使得恢复过程更具挑战性。

另一个值得注意的变化是从赎金通知中删除了比特币地址，攻击者现在敦促受害者通过Tox与他们联系，以获取钱包信息。

Censys在一篇报道中表示，威胁者“意识到研究人员正在追踪他们的付款，他们甚至可能在发布勒索软件之前就知道，原始变体中的加密过程相对容易规避”。

“换言之，他们在观望。”

众包平台Ransomwwhere分享的统计数据显示，截至2023年2月9日，多达1252台服务器被新版本的ESXiArgs感染，其中1168台再次感染。

自2月初勒索病毒爆发以来，已有3800多个独特的主机遭到破坏。大多数感染者位于法国、美国、德国、加拿大、英国、荷兰、芬兰、土耳其、波兰和台湾。

与Cheerscrypt和PrideLocker一样，ESXiArgs基于Babuk储物柜，该储物柜的源代码于2021 9月泄漏。但它与其他勒索软件家族不同的一个关键方面是没有数据泄漏站点，这表明它没有运行在勒索软件即服务（RaaS）模型上。

ESXiArgs勒索软件

网络安全公司Intel471表示：“勒索金额仅为两个比特币（47000美元）多一点，受害者可以在三天内付款。”。

虽然最初怀疑这些入侵涉及VMware ESXi中一个两岁的、现已修补的OpenSLP漏洞的滥用（CVE-221-21974），但在禁用了网络发现协议的设备中报告了漏洞。

此后，VMware表示，没有发现任何证据表明其软件中的零日漏洞被用来传播勒索软件。

这表明，该活动背后的威胁者可能利用ESXi中的几个已知漏洞发挥其优势，因此用户必须迅速更新到最新版本。这些袭击尚未被归咎于已知的威胁行为者或团体。

ESXiArgs勒索软件

北极狼指出：“根据赎金通知，这场战役与唯一的威胁行为者或团体有关。”更成熟的勒索软件集团通常会在进行入侵之前对潜在受害者进行OSINT，并根据感知价值设定赎金支付。”

网络安全公司Rapid7表示，它发现18581台联网ESXi服务器易受CVE-221-21974攻击，并进一步观察到RansomExx2参与者机会主义地瞄准易受攻击的ESXi服务器。

Akamai安全技术和战略总监Tony Lauro表示：“虽然这一特定漏洞的影响似乎很低，但网络攻击者仍在通过千次削减来折磨组织。”。

“ESXiArgs勒索软件是一个很好的例子，说明了为什么系统管理员需要在补丁发布后快速实施补丁。然而，补丁也只是一道防线，需要更多的加强注意。”